Grundlagen der IT-Sicherheit - KEG Saar
Grundlagen der IT-Sicherheit - KEG Saar
Grundlagen der IT-Sicherheit - KEG Saar
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Kompetenzzentrum für elektronischen Geschäftsverkehr <strong>KEG</strong> <strong>Saar</strong><br />
<strong>Grundlagen</strong> <strong>der</strong> <strong>IT</strong>-<strong>Sicherheit</strong><br />
Workshop-Reihe „Gesetzliche <strong>IT</strong> <strong>Sicherheit</strong>",<br />
Teil 1: <strong>Grundlagen</strong> <strong>der</strong> <strong>IT</strong> <strong>Sicherheit</strong><br />
Dipl.-Kfm. Dominik Van<strong>der</strong>haeghen, <strong>KEG</strong> <strong>Saar</strong>/IWi<br />
Johannes Hoen, <strong>KEG</strong> <strong>Saar</strong>/IWi<br />
www.keg-saar.de<br />
<strong>Saar</strong>brücken, 30.05.2007
Kompetenzzentrum für elektronischen Geschäftsverkehr <strong>KEG</strong> <strong>Saar</strong><br />
Agenda
Agenda 30.05.2007<br />
• Einführung/Überblick inner- und<br />
zwischenbetrieblicher Gefahren beim Einsatz<br />
von <strong>IT</strong> im Unternehmen<br />
• Einführung/Überblick existieren<strong>der</strong><br />
Lösungsansätze zur Implementierung<br />
von <strong>IT</strong>-<strong>Sicherheit</strong><br />
• Demonstration
Problem: Fehleinschätzung des eigenen Schutzbedarfs<br />
Bei uns ist noch nie<br />
„etwas“ o<strong>der</strong> „so<br />
was“ passiert…<br />
(z.B. Eindringen<br />
betriebsfrem<strong>der</strong> Personen in<br />
ein Büro)
Problem: Fehleinschätzung des eigenen Schutzbedarfs<br />
Was soll bei uns schon<br />
zu holen sein…?<br />
So geheim sind unsere<br />
Daten doch gar nicht…
Problem: Fehleinschätzung des eigenen Schutzbedarfs<br />
Unser Netz ist sicher…
Problem: Fehleinschätzung des eigenen Schutzbedarfs<br />
Unsere Mitarbeiter sind<br />
vertrauenswürdig…
Problem: Vielzahl von <strong>IT</strong>-<strong>Sicherheit</strong>sprodukten und -beratern<br />
• Antivirus, Firewall<br />
• Antispam, Filtertools<br />
• Backup, Datensicherung<br />
• Datenschutz, Spurenvernichter<br />
• Verschlüsselung<br />
• Zutrittskontrolle, Biometrie
Heutige Themen<br />
1. Einführung in Themenblöcke<br />
a) Netzwerk-/Kommunikations-/<br />
Computersicherheit<br />
b) Rechtevergabe, Passwörter<br />
c) AV-Software<br />
d) Firewalls<br />
e) Mobile Geräte<br />
f) VPN
Kompetenzzentrum für elektronischen Geschäftsverkehr <strong>KEG</strong> <strong>Saar</strong><br />
Netzwerk-/Kommunikations<br />
/Kommunikations-<br />
Computersicherheit
Schwerpunkt – „Netzwerksicherheit“<br />
Mitarbeiter<br />
unterwegs<br />
<strong>Sicherheit</strong> des zu<br />
betrachtenden Netzwerks:<br />
1. Kommunikationssicherheit<br />
2. Computersicherheit<br />
Internet<br />
Kunden<br />
Unternehmen
Schwerpunkt – „Kommunikationssicherheit“<br />
• Befasst sich mit dem Schutz von<br />
Kommunikationsverbindungen zwischen 2<br />
o<strong>der</strong> mehreren Partnern<br />
• 3 Kategorien<br />
– Schutz <strong>der</strong> Vertraulichkeit („ein bestimmter<br />
Empfänger kann lesen“)<br />
– Schutz <strong>der</strong> Verfügbarkeit („Verbindung vorhanden,<br />
wenn benötigt“)<br />
– Schutz <strong>der</strong> Integrität („Echtheit <strong>der</strong> Nachricht ist<br />
gegeben“)
Schwerpunkt – „Computersicherheit“ (Einzelne Arbeitsplatz)<br />
• Absicherung eines Computersystems vor<br />
Ausfall und Manipulation sowie vor<br />
unerlaubtem Zugriff<br />
• Computersicherheit bedeutet:<br />
– Datenschutz<br />
– Vertraulichkeit: Dateien dürfen nur von autorisierten<br />
Benutzern gelesen werden.<br />
– Übertragungssicherheit: Die Übertragung vom<br />
Rechner zu an<strong>der</strong>en Rechnern, Geräten o<strong>der</strong> zum<br />
Benutzer kann nicht ausgespäht werden.
Kompetenzzentrum für elektronischen Geschäftsverkehr <strong>KEG</strong> <strong>Saar</strong><br />
Rechtevergabe und Passwörter
Definition<br />
• Zugriffsrechte<br />
Zugriffsrechte bezeichnen in <strong>der</strong> EDV die Regeln, nach denen<br />
entschieden wird, ob und wie Benutzer, Programme o<strong>der</strong><br />
Programmteile, Operationen auf Objekten (z.B. Netzwerke,<br />
Drucker, Dateisysteme) ausführen dürfen.<br />
Am geläufigsten ist dieses Konzept bei Dateisystemberechtigungen,<br />
wo festgelegt wird, welche Benutzer welche<br />
Dateien lesen, schreiben, än<strong>der</strong>n o<strong>der</strong> ausführen dürfen.
Schwerpunkt – „Rechtevergabe“<br />
• Minimale Zugriffsrechte vs. maximale<br />
Beteiligung<br />
– "Need-to-know principle“<br />
– "Maximized-sharing principle“<br />
• Offene vs. geschlossene Systeme<br />
– offenen Systemen (Vertrauen-Strategie) – alles ist<br />
erlaubt, was nicht explizit verboten wurden.<br />
– geschlossenen Systemen (Misstrauen-Strategie) – alles ist<br />
verboten, was nicht explizit erlaubt sind.<br />
• Zentrale vs. dezentrale Kontrolle<br />
• Rechtevererbung
Zugriffskontrollstrategien<br />
• DAC Discretionary Access Control<br />
– Benutzergesteuert o<strong>der</strong> eigentümergesteuert<br />
– Besitzer eines Objekts verantwortlich für Vergabe und Pflege <strong>der</strong><br />
Zugriffsrechte<br />
– Rechteweitergabe ohne Einschränkung möglich (für<br />
Hochsicherheitssysteme unsicher aufgrund z.B. Trojanischer Pferde)<br />
• MAC Mandatory Access Control<br />
– <strong>Sicherheit</strong>sstufen-Ansatz<br />
– Einschränkung <strong>der</strong> Rechteweitergabe durch Policies<br />
– Read-Down-Regel vs. Write-Up-Regel<br />
• RBAC Role Based Access Control<br />
– Zuo. Zugriffsrechte Rollen Subjekten<br />
– Analyse <strong>der</strong> Arbeitsprozesse (Rollen) vonnöten
Definition<br />
• Passwort<br />
Ein Passwort ist ein allgemeines Mittel zur Authentifizierung<br />
eines Benutzers innerhalb eines Systems, <strong>der</strong> sich durch eine<br />
eindeutige Information dem System gegenüber ausweist.<br />
Die Authentizität des Benutzers bleibt daher nur gewahrt,<br />
wenn er das Passwort geheim hält. Man spricht in diesem<br />
Zusammenhang auch von einem statischen Passwort.
<strong>Sicherheit</strong>sbestimmungen für Passwörter<br />
Passwörter sollten<br />
„Leicht zu merken, aber schwer zu<br />
erraten!“<br />
Beliebtes Mittel:<br />
Anfangsbuchstaben von Sätzen<br />
(Wörtern)<br />
Ich finde die 2 Dozenten aus<br />
dem <strong>KEG</strong>-Workshop 1a!<br />
Ifd2DadKW1a!
<strong>Sicherheit</strong>sbestimmungen für Passwörter<br />
• Mind. 8 Zeichen (Buchstabe/Ziffer/Satz-<br />
/Son<strong>der</strong>zeichen), max. 16 Zeichen<br />
• Zeichen aus folgenden vier Kategorien<br />
– Deutsche Großbuchstaben (A-Z)<br />
– Deutsche Kleinbuchstaben (a-z)<br />
– Arabische Ziffern (0-9)<br />
– Nicht-alphanumerische Zeichen (z.B. !,.:#%)<br />
• Umlaute/Leerzeichen nicht zulässig<br />
• Passwort darf nicht Teile des Benutzernamens o<strong>der</strong><br />
an<strong>der</strong>en Namensbestandteile enthalten
<strong>Sicherheit</strong>sbestimmungen für Passwörter<br />
• Keine Buchstabenfolgen <strong>der</strong> Tastatur wie „qwertz“<br />
• Passwort darf kein Begriff bilden, <strong>der</strong> in einem<br />
Wörterbuch auch nichtdeutsch) enthalten ist<br />
• Kombination von Groß und Kleinschreibung<br />
• Passwortwahl so, dass es nicht notiert werden muss<br />
• Keine persönlichen Angaben in Passwörtern
Kompetenzzentrum für elektronischen Geschäftsverkehr <strong>KEG</strong> <strong>Saar</strong><br />
Antiviren-Schutz
Schwerpunkt – „Antiviren-Schutz“<br />
• Ein Antivirenprogramm (auch Virenscanner o<strong>der</strong><br />
Virenschutz) ist eine Software, die bekannte<br />
– Computerviren<br />
– Computerwürmer<br />
– Trojanische Pferde<br />
– Spyware<br />
– und an<strong>der</strong>e Schädlinge<br />
aufspürt, blockiert und gegebenenfalls beseitigt.
Definitionen/Erklärungen<br />
• Computervirus<br />
Ein Computer-Virus ist eine nicht selbständige Programmroutine, die sich selbst<br />
reproduziert und dadurch vom Anwen<strong>der</strong> nicht kontrollierbare Manipulationen<br />
in Systembereichen, an an<strong>der</strong>en Programmen o<strong>der</strong> <strong>der</strong>en Umgebung vornimmt.<br />
• Computerwurm<br />
Ein Computerwurm ist eine selbständige Programmroutine, die sich selbst<br />
reproduziert, indem sie über ein Computernetzwerk an Computerprogrammen<br />
o<strong>der</strong> Betriebssystemen an<strong>der</strong>er Computern Manipulationen vornimmt.<br />
Ein Wurm kann eine spezielle Schadensroutine umfassen, muß aber nicht. Da<br />
ein Wurmprogramm auf befallenen Systemen Ressourcen zur<br />
Weiterverbreitung bindet, können selbst Würmer ohne spezielle<br />
Schadensroutinen gewaltige wirtschaftliche Schäden erzeugen.
Definitionen/Erklärungen<br />
• Trojanische Pferde<br />
Unter einem Trojaner versteht man ein Programm, das neben seiner<br />
eigentlichen Funktion noch weitere, unbekannte Funktionen aufweist.<br />
Bei seiner Ausführung richtet ein trojanisches Pferd Schaden »von<br />
innen« an.<br />
Dabei werden Datenbestände und Passwörter ausspioniert und über<br />
das Internet versendet, ebenso aber auch Systemkonfigurationen<br />
verän<strong>der</strong>t o<strong>der</strong> gelöscht.<br />
Trojaner missbrauchen Computer und rüsten in diesen zusätzliche<br />
Funktionen nach, mit denen sie Zugangsdaten, Passwörter und<br />
Seriennummern erfassen o<strong>der</strong> die Remote-Eigenschaften und die<br />
Systemadministration beeinträchtigen, so beispielsweise als Spyware,<br />
zur Aussendung von Spam-Mails o<strong>der</strong> für Angriffe auf Server.
Definitionen/Erklärungen<br />
• Spyware<br />
Als Spyware wird üblicherweise Software bezeichnet, die<br />
persönliche Daten eines PC-Benutzers ohne dessen Wissen<br />
o<strong>der</strong> Zustimmung an den Hersteller <strong>der</strong> Software (Call Home)<br />
o<strong>der</strong> an Dritte sendet o<strong>der</strong> dazu genutzt wird, dem Benutzer<br />
direkt Produkte anzubieten.<br />
o<br />
o<br />
Analyse des Surfverhalten im Internet<br />
Einblenden gezielter Werbebanner o<strong>der</strong> Pop-ups
AV-Scanner<br />
• Typen<br />
– Echtzeitscanner<br />
o<br />
o<br />
Scannen beim Öffnen von Dateien (Lesevorgang)<br />
Scannen beim Erstellen / Än<strong>der</strong>n von Dateien<br />
(Schreibvorgang)<br />
– Manueller Scanner (On-Demand Scanner)<br />
– Online-Virenscanner (Second-Opinion-Scanner )
AV-Scanner<br />
• Erkennungstechniken<br />
– Reaktive Erkennung<br />
– Proaktive Erkennung:<br />
o<br />
o<br />
die Heuristik o<strong>der</strong><br />
die SandBox Technologie
AV-Scanner<br />
• Scanengine<br />
– Scanengine ist <strong>der</strong> Programmteil eines Virenscanners, <strong>der</strong><br />
die Untersuchung eines Computers o<strong>der</strong> Netzwerkes auf<br />
schadhafte Software ausführt<br />
– Das Scanengine verantwortet die Effizienz <strong>der</strong><br />
Antivirensoftware<br />
– Scanengines werden i. d. R. unabhängig vom Rest eines<br />
Virenscanners aktualisiert und eingesetzt
AV-Scanner<br />
• Heuristik:<br />
– ist das Suchen nach allgemeinen Merkmalen, um<br />
unbekannte Viren zu erkennen<br />
– nur als Zusatzfunktion des Virenscannerscanners<br />
anzusehen, da geringe Erkennungsrate noch<br />
unbekannter Malware<br />
– minimaler <strong>Sicherheit</strong>szugewinn
SandBox<br />
• Sandbox o<strong>der</strong> „Computer im Computer“<br />
• 2001 entwickelt von dem norwegischen Antivirenhersteller Norman<br />
• Programme werden in einer gesicherten Umgebung ausgeführt und<br />
ihre Aktionen analysiert<br />
• Gefahrenklassifizierung erfolgt bei Abweichung von gewissen<br />
typischen Verhaltensweisen<br />
• 39% noch unbekannter Viren und Würmer wurden ohne Signatur<br />
erkannt (Quelle: AV-Test)
Problembereiche AV-Scanner<br />
• Probleme beim Echtzeit-Scan<br />
• Kompatibilitätsprobleme mit bestimmten<br />
Anwendungen (Ausschlussliste möglich)<br />
• Zeitliche Verzögerungen infolge des<br />
Scanvorgangs
Empfehlungen AV-Software<br />
• Installieren Sie ein Antiviren-Programm auf sämtlichen<br />
Servern und Arbeitsstationen (Clients) und aktualisieren Sie<br />
dieses regelmäßig.<br />
• Untersagen Sie ausdrücklich das Ausschalten o<strong>der</strong> zeitweise<br />
Deaktivieren des Antivirus-Programms.<br />
• For<strong>der</strong>n Sie die Mitarbeitenden auf, Warnmeldungen über<br />
Viren unverzüglich dem Administrator zu melden.<br />
• Führen Sie mindestens ein Mal wöchentlich einen<br />
vollständigen Virus-Scan von Festplatten durch. Damit<br />
werden bisher unerkannte Viren entdeckt und eliminiert.<br />
• Verwalten Sie bei größeren Netzwerken Antivirus-Programme<br />
zentral und automatisch.
Kompetenzzentrum für elektronischen Geschäftsverkehr <strong>KEG</strong> <strong>Saar</strong><br />
Firewall
Schwerpunkt – „Firewall“
Quelle: Uwe Ellermann, DFN-Cert<br />
Firewall – Eine Definition<br />
Firewall<br />
„Ein(e) Firewall ist eine Schwelle zwischen zwei<br />
Netzen, die überwunden werden muß, um<br />
Systeme im jeweils an<strong>der</strong>en Netz zu<br />
erreichen“
• Soft- und Hardwarekomponenten<br />
• Einsatz auch zwischen<br />
zwei o<strong>der</strong> mehreren<br />
organisationsinternen<br />
Netzen (unterschiedl.<br />
Schutzbedarf, z. B.<br />
Büronetz vom Netz<br />
<strong>der</strong> Personalabteilung)
Firewallumgebung
Firewall Arten<br />
• Paketfilter<br />
• Application Gateway<br />
(Proxy)<br />
Einstufung nach Ansatz im<br />
OSI-Modell<br />
• Personal Firewall
Firewalls sind kein Allheilmittel<br />
• keinen Schutz vor Schädlingen, die über<br />
Mobile Geräte, wie Laptops o<strong>der</strong> USB-Sticks,<br />
in das interne Netz gelangen<br />
• Paketfilter geben keinen Schutz vor High-<br />
Level-Attacken<br />
• Ohne Konzept/Richtlinien bieten Firewalls nur<br />
eine „Schein<strong>Sicherheit</strong>“
Best Practices<br />
• Wickeln Sie den gesamten Internetverkehr<br />
über die Firewall ab. Erlauben Sie keine<br />
an<strong>der</strong>en Zugänge zum Internet (z.B. via<br />
Modem).<br />
• Beschränken Sie nicht nur eingehende,<br />
son<strong>der</strong>n auch ausgehende Verbindungen<br />
• Behandeln Sie Funknetze (WLAN) als externe<br />
Netze<br />
• Kontrollieren Sie regelmäßig den Regel-<br />
/Richtliniensatz <strong>der</strong> Firewall
Kompetenzzentrum für elektronischen Geschäftsverkehr <strong>KEG</strong> <strong>Saar</strong><br />
Mobile Geräte
Schwerpunkt – „Mobile Geräte“
Sensoren,<br />
embedded<br />
systems<br />
Mobile Endgeräte<br />
Pager<br />
• nur Empfang<br />
• sehr kleine<br />
Anzeigen<br />
•einfache<br />
Textnachrichten<br />
PDA/Smartphone<br />
• Grafikanzeigen<br />
• Handschrifterkennung<br />
• vereinfachtes WWW<br />
Laptop/Notebook<br />
• voll funktionsfähig<br />
• Standardanwendungen<br />
Mobiltelefone<br />
• Sprache, Daten<br />
• einfache Grafikanzeigen<br />
Palmtops<br />
• kleine Tastatur<br />
• einfache Versionen<br />
<strong>der</strong> Standardprogramme<br />
L e i s t u n g
Mobile Geräte – Gefahren<br />
• Diebstahl / Verlust<br />
• Transport von Schadsoftware<br />
• Unverschlüsselter Fernzugriff auf das<br />
Firmennetz<br />
• Zugriff durch offene Verbindungen<br />
(Bluetooth,WLAN)
Tipps und Tricks für Mobile Geräte<br />
• Seien Sie aufmerksam<br />
• Verschlüsseln Sie wichtige Daten<br />
• Aktivieren Sie Netzwerkverbindungen, nur wenn<br />
notwendig<br />
• Netzzugriffe sollten verschlüsselt durchgeführt<br />
werden (VPN, SSL)
Kompetenzzentrum für elektronischen Geschäftsverkehr <strong>KEG</strong> <strong>Saar</strong><br />
VPN
Schwerpunkt – „VPN“<br />
VPN – Virtual Private<br />
Network
Schwerpunkt – „VPN“<br />
• Nutzung vom öffentlichen Netz zum Transport<br />
privater Daten<br />
• sichere Übertragung über ein unsicheres<br />
Netzwerk<br />
• Verschlüsselung <strong>der</strong> Verbindung<br />
• Die Übertragung erfolgt über Tunnel zw. den<br />
VPN Client und den VPN Server, kann<br />
verschlüsselt o<strong>der</strong> auch nicht verschlüsselt<br />
sein
VPN Verbindungsarten<br />
• End-to-End<br />
• Site-to-End<br />
• Site-to-Site
End-to-End VPN
End-to-Site VPN
Site-to-Site VPN
VPN-Techniken<br />
• PPTP<br />
• SSL-VPN (OpenVPN)<br />
• IPSEC<br />
• SSH-Tunnel<br />
• L2TP<br />
• MPLS („DSL-VPN“)
VPN Authentifizierung<br />
• User-Passwort<br />
• Shared Key<br />
• Zertifikate (PKI)<br />
• Auth-Token
VPN – Ein Fazit<br />
• Grundlage für abhör- und<br />
manipulationssichere Kommunikation<br />
• Hohe Wachstumrate von VPNs<br />
• Sinnvolle Lösung um WLANs zu sichern<br />
Jedoch:<br />
- keine Ultimativ-Lösung !!!<br />
- öffnet wie<strong>der</strong> Wege ins Firmennetz
Fragen???
Kontakt<br />
www.keg-saar.de<br />
• Zentrale für Produktivität und Technologie <strong>Saar</strong> e. V. (ZPT)<br />
Sabine Betzholz-Schlüter<br />
Tel.: 06 81/ 95 20 - 4 71<br />
E-Mail: info@keg-saar.de<br />
• Institut für Wirtschaftsinformatik (IWi) im Deutschen<br />
Forschungszentrum für Künstliche Intelligenz (DFKI)<br />
Dominik Van<strong>der</strong>haeghen, Johannes Hoen<br />
Tel.: 06 81/ 3 02 – 64092<br />
E-Mail: info@keg-saar.de
Links und Quellen im Netz<br />
• Publikationen <strong>der</strong> BSI<br />
• „Zen and the art of information security“. Elsevier 2007<br />
• Mission-Critical Security Planner. When Hackers Won’t Take<br />
No for an Answer. Wiley 2003<br />
• Kompass <strong>der</strong> <strong>IT</strong> <strong>Sicherheit</strong>sstandards. V2.0. B<strong>IT</strong>KOM 2006<br />
• Wikipedia.org etc.
Links und Quellen im Netz<br />
• http://www.computervireninfo.de/Definition.html<br />
• http://computerwurm.know-library.net/<br />
• http://www.itwissen.info/definition/lexikon///<br />
__trojan_trojaner.html
Links und Quellen im Netz<br />
• http://www.bsi.de/gshb/Leitfaden/GS-Leitfaden.pdf<br />
• http://www.risknet.de/typo3conf/ext/nf_downloads/pi1<br />
/passdownload.php?&downloaddata=19<br />
• http://www.wikipedia.de<br />
• Publikationen <strong>der</strong> BSI<br />
• „Zen and the art of information security“. Elsevier 2007<br />
• Mission-Critical Security Planner. When Hackers Won’t<br />
Take No for an Answer. Wiley 2003<br />
• Kompass <strong>der</strong> <strong>IT</strong> <strong>Sicherheit</strong>sstandards. V2.0. B<strong>IT</strong>KOM<br />
2006