Grundlagen der IT-Sicherheit - KEG Saar

Kompetenzzentrum für elektronischen Geschäftsverkehr KEG Saar
Grundlagen der IT-Sicherheit
Workshop-Reihe „Gesetzliche IT Sicherheit",
Teil 1: Grundlagen der IT Sicherheit
Dipl.-Kfm. Dominik Vanderhaeghen, KEG Saar/IWi
Johannes Hoen, KEG Saar/IWi
www.keg-saar.de
Saarbrücken, 30.05.2007

Kompetenzzentrum für elektronischen Geschäftsverkehr KEG Saar
Agenda

Agenda 30.05.2007
• Einführung/Überblick inner- und
zwischenbetrieblicher Gefahren beim Einsatz
von IT im Unternehmen
• Einführung/Überblick existierender
Lösungsansätze zur Implementierung
von IT-Sicherheit
• Demonstration

Problem: Fehleinschätzung des eigenen Schutzbedarfs
Bei uns ist noch nie
„etwas“ oder „so
was“ passiert…
(z.B. Eindringen
betriebsfremder Personen in
ein Büro)

Problem: Fehleinschätzung des eigenen Schutzbedarfs
Was soll bei uns schon
zu holen sein…?
So geheim sind unsere
Daten doch gar nicht…

Problem: Fehleinschätzung des eigenen Schutzbedarfs
Unser Netz ist sicher…

Problem: Fehleinschätzung des eigenen Schutzbedarfs
Unsere Mitarbeiter sind
vertrauenswürdig…

Problem: Vielzahl von IT-Sicherheitsprodukten und -beratern
• Antivirus, Firewall
• Antispam, Filtertools
• Backup, Datensicherung
• Datenschutz, Spurenvernichter
• Verschlüsselung
• Zutrittskontrolle, Biometrie

Heutige Themen
1. Einführung in Themenblöcke
a) Netzwerk-/Kommunikations-/
Computersicherheit
b) Rechtevergabe, Passwörter
c) AV-Software
d) Firewalls
e) Mobile Geräte
f) VPN

Kompetenzzentrum für elektronischen Geschäftsverkehr KEG Saar
Netzwerk-/Kommunikations
/Kommunikations-
Computersicherheit

Schwerpunkt – „Netzwerksicherheit“
Mitarbeiter
unterwegs
Sicherheit des zu
betrachtenden Netzwerks:
1. Kommunikationssicherheit
2. Computersicherheit
Internet
Kunden
Unternehmen

Schwerpunkt – „Kommunikationssicherheit“
• Befasst sich mit dem Schutz von
Kommunikationsverbindungen zwischen 2
oder mehreren Partnern
• 3 Kategorien
– Schutz der Vertraulichkeit („ein bestimmter
Empfänger kann lesen“)
– Schutz der Verfügbarkeit („Verbindung vorhanden,
wenn benötigt“)
– Schutz der Integrität („Echtheit der Nachricht ist
gegeben“)

Schwerpunkt – „Computersicherheit“ (Einzelne Arbeitsplatz)
• Absicherung eines Computersystems vor
Ausfall und Manipulation sowie vor
unerlaubtem Zugriff
• Computersicherheit bedeutet:
– Datenschutz
– Vertraulichkeit: Dateien dürfen nur von autorisierten
Benutzern gelesen werden.
– Übertragungssicherheit: Die Übertragung vom
Rechner zu anderen Rechnern, Geräten oder zum
Benutzer kann nicht ausgespäht werden.

Kompetenzzentrum für elektronischen Geschäftsverkehr KEG Saar
Rechtevergabe und Passwörter

Definition
• Zugriffsrechte
Zugriffsrechte bezeichnen in der EDV die Regeln, nach denen
entschieden wird, ob und wie Benutzer, Programme oder
Programmteile, Operationen auf Objekten (z.B. Netzwerke,
Drucker, Dateisysteme) ausführen dürfen.
Am geläufigsten ist dieses Konzept bei Dateisystemberechtigungen,
wo festgelegt wird, welche Benutzer welche
Dateien lesen, schreiben, ändern oder ausführen dürfen.

Schwerpunkt – „Rechtevergabe“
• Minimale Zugriffsrechte vs. maximale
Beteiligung
– "Need-to-know principle“
– "Maximized-sharing principle“
• Offene vs. geschlossene Systeme
– offenen Systemen (Vertrauen-Strategie) – alles ist
erlaubt, was nicht explizit verboten wurden.
– geschlossenen Systemen (Misstrauen-Strategie) – alles ist
verboten, was nicht explizit erlaubt sind.
• Zentrale vs. dezentrale Kontrolle
• Rechtevererbung

Zugriffskontrollstrategien
• DAC Discretionary Access Control
– Benutzergesteuert oder eigentümergesteuert
– Besitzer eines Objekts verantwortlich für Vergabe und Pflege der
Zugriffsrechte
– Rechteweitergabe ohne Einschränkung möglich (für
Hochsicherheitssysteme unsicher aufgrund z.B. Trojanischer Pferde)
• MAC Mandatory Access Control
– Sicherheitsstufen-Ansatz
– Einschränkung der Rechteweitergabe durch Policies
– Read-Down-Regel vs. Write-Up-Regel
• RBAC Role Based Access Control
– Zuo. Zugriffsrechte Rollen Subjekten
– Analyse der Arbeitsprozesse (Rollen) vonnöten

Definition
• Passwort
Ein Passwort ist ein allgemeines Mittel zur Authentifizierung
eines Benutzers innerhalb eines Systems, der sich durch eine
eindeutige Information dem System gegenüber ausweist.
Die Authentizität des Benutzers bleibt daher nur gewahrt,
wenn er das Passwort geheim hält. Man spricht in diesem
Zusammenhang auch von einem statischen Passwort.

Sicherheitsbestimmungen für Passwörter
Passwörter sollten
„Leicht zu merken, aber schwer zu
erraten!“
Beliebtes Mittel:
Anfangsbuchstaben von Sätzen
(Wörtern)
Ich finde die 2 Dozenten aus
dem KEG-Workshop 1a!
Ifd2DadKW1a!

Sicherheitsbestimmungen für Passwörter
• Mind. 8 Zeichen (Buchstabe/Ziffer/Satz-
/Sonderzeichen), max. 16 Zeichen
• Zeichen aus folgenden vier Kategorien
– Deutsche Großbuchstaben (A-Z)
– Deutsche Kleinbuchstaben (a-z)
– Arabische Ziffern (0-9)
– Nicht-alphanumerische Zeichen (z.B. !,.:#%)
• Umlaute/Leerzeichen nicht zulässig
• Passwort darf nicht Teile des Benutzernamens oder
anderen Namensbestandteile enthalten

Sicherheitsbestimmungen für Passwörter
• Keine Buchstabenfolgen der Tastatur wie „qwertz“
• Passwort darf kein Begriff bilden, der in einem
Wörterbuch auch nichtdeutsch) enthalten ist
• Kombination von Groß und Kleinschreibung
• Passwortwahl so, dass es nicht notiert werden muss
• Keine persönlichen Angaben in Passwörtern

Kompetenzzentrum für elektronischen Geschäftsverkehr KEG Saar
Antiviren-Schutz

Schwerpunkt – „Antiviren-Schutz“
• Ein Antivirenprogramm (auch Virenscanner oder
Virenschutz) ist eine Software, die bekannte
– Computerviren
– Computerwürmer
– Trojanische Pferde
– Spyware
– und andere Schädlinge
aufspürt, blockiert und gegebenenfalls beseitigt.

Definitionen/Erklärungen
• Computervirus
Ein Computer-Virus ist eine nicht selbständige Programmroutine, die sich selbst
reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen
in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt.
• Computerwurm
Ein Computerwurm ist eine selbständige Programmroutine, die sich selbst
reproduziert, indem sie über ein Computernetzwerk an Computerprogrammen
oder Betriebssystemen anderer Computern Manipulationen vornimmt.
Ein Wurm kann eine spezielle Schadensroutine umfassen, muß aber nicht. Da
ein Wurmprogramm auf befallenen Systemen Ressourcen zur
Weiterverbreitung bindet, können selbst Würmer ohne spezielle
Schadensroutinen gewaltige wirtschaftliche Schäden erzeugen.

Definitionen/Erklärungen
• Trojanische Pferde
Unter einem Trojaner versteht man ein Programm, das neben seiner
eigentlichen Funktion noch weitere, unbekannte Funktionen aufweist.
Bei seiner Ausführung richtet ein trojanisches Pferd Schaden »von
innen« an.
Dabei werden Datenbestände und Passwörter ausspioniert und über
das Internet versendet, ebenso aber auch Systemkonfigurationen
verändert oder gelöscht.
Trojaner missbrauchen Computer und rüsten in diesen zusätzliche
Funktionen nach, mit denen sie Zugangsdaten, Passwörter und
Seriennummern erfassen oder die Remote-Eigenschaften und die
Systemadministration beeinträchtigen, so beispielsweise als Spyware,
zur Aussendung von Spam-Mails oder für Angriffe auf Server.

Definitionen/Erklärungen
• Spyware
Als Spyware wird üblicherweise Software bezeichnet, die
persönliche Daten eines PC-Benutzers ohne dessen Wissen
oder Zustimmung an den Hersteller der Software (Call Home)
oder an Dritte sendet oder dazu genutzt wird, dem Benutzer
direkt Produkte anzubieten.
o
o
Analyse des Surfverhalten im Internet
Einblenden gezielter Werbebanner oder Pop-ups

AV-Scanner
• Typen
– Echtzeitscanner
o
o
Scannen beim Öffnen von Dateien (Lesevorgang)
Scannen beim Erstellen / Ändern von Dateien
(Schreibvorgang)
– Manueller Scanner (On-Demand Scanner)
– Online-Virenscanner (Second-Opinion-Scanner )

AV-Scanner
• Erkennungstechniken
– Reaktive Erkennung
– Proaktive Erkennung:
o
o
die Heuristik oder
die SandBox Technologie

AV-Scanner
• Scanengine
– Scanengine ist der Programmteil eines Virenscanners, der
die Untersuchung eines Computers oder Netzwerkes auf
schadhafte Software ausführt
– Das Scanengine verantwortet die Effizienz der
Antivirensoftware
– Scanengines werden i. d. R. unabhängig vom Rest eines
Virenscanners aktualisiert und eingesetzt

AV-Scanner
• Heuristik:
– ist das Suchen nach allgemeinen Merkmalen, um
unbekannte Viren zu erkennen
– nur als Zusatzfunktion des Virenscannerscanners
anzusehen, da geringe Erkennungsrate noch
unbekannter Malware
– minimaler Sicherheitszugewinn

SandBox
• Sandbox oder „Computer im Computer“
• 2001 entwickelt von dem norwegischen Antivirenhersteller Norman
• Programme werden in einer gesicherten Umgebung ausgeführt und
ihre Aktionen analysiert
• Gefahrenklassifizierung erfolgt bei Abweichung von gewissen
typischen Verhaltensweisen
• 39% noch unbekannter Viren und Würmer wurden ohne Signatur
erkannt (Quelle: AV-Test)

Problembereiche AV-Scanner
• Probleme beim Echtzeit-Scan
• Kompatibilitätsprobleme mit bestimmten
Anwendungen (Ausschlussliste möglich)
• Zeitliche Verzögerungen infolge des
Scanvorgangs

Empfehlungen AV-Software
• Installieren Sie ein Antiviren-Programm auf sämtlichen
Servern und Arbeitsstationen (Clients) und aktualisieren Sie
dieses regelmäßig.
• Untersagen Sie ausdrücklich das Ausschalten oder zeitweise
Deaktivieren des Antivirus-Programms.
• Fordern Sie die Mitarbeitenden auf, Warnmeldungen über
Viren unverzüglich dem Administrator zu melden.
• Führen Sie mindestens ein Mal wöchentlich einen
vollständigen Virus-Scan von Festplatten durch. Damit
werden bisher unerkannte Viren entdeckt und eliminiert.
• Verwalten Sie bei größeren Netzwerken Antivirus-Programme
zentral und automatisch.

Kompetenzzentrum für elektronischen Geschäftsverkehr KEG Saar
Firewall

Schwerpunkt – „Firewall“

Quelle: Uwe Ellermann, DFN-Cert
Firewall – Eine Definition
Firewall
„Ein(e) Firewall ist eine Schwelle zwischen zwei
Netzen, die überwunden werden muß, um
Systeme im jeweils anderen Netz zu
erreichen“

• Soft- und Hardwarekomponenten
• Einsatz auch zwischen
zwei oder mehreren
organisationsinternen
Netzen (unterschiedl.
Schutzbedarf, z. B.
Büronetz vom Netz
der Personalabteilung)

Firewallumgebung

Firewall Arten
• Paketfilter
• Application Gateway
(Proxy)
Einstufung nach Ansatz im
OSI-Modell
• Personal Firewall

Firewalls sind kein Allheilmittel
• keinen Schutz vor Schädlingen, die über
Mobile Geräte, wie Laptops oder USB-Sticks,
in das interne Netz gelangen
• Paketfilter geben keinen Schutz vor High-
Level-Attacken
• Ohne Konzept/Richtlinien bieten Firewalls nur
eine „ScheinSicherheit“

Best Practices
• Wickeln Sie den gesamten Internetverkehr
über die Firewall ab. Erlauben Sie keine
anderen Zugänge zum Internet (z.B. via
Modem).
• Beschränken Sie nicht nur eingehende,
sondern auch ausgehende Verbindungen
• Behandeln Sie Funknetze (WLAN) als externe
Netze
• Kontrollieren Sie regelmäßig den Regel-
/Richtliniensatz der Firewall

Kompetenzzentrum für elektronischen Geschäftsverkehr KEG Saar
Mobile Geräte

Schwerpunkt – „Mobile Geräte“

Sensoren,
embedded
systems
Mobile Endgeräte
Pager
• nur Empfang
• sehr kleine
Anzeigen
•einfache
Textnachrichten
PDA/Smartphone
• Grafikanzeigen
• Handschrifterkennung
• vereinfachtes WWW
Laptop/Notebook
• voll funktionsfähig
• Standardanwendungen
Mobiltelefone
• Sprache, Daten
• einfache Grafikanzeigen
Palmtops
• kleine Tastatur
• einfache Versionen
der Standardprogramme
L e i s t u n g

Mobile Geräte – Gefahren
• Diebstahl / Verlust
• Transport von Schadsoftware
• Unverschlüsselter Fernzugriff auf das
Firmennetz
• Zugriff durch offene Verbindungen
(Bluetooth,WLAN)

Tipps und Tricks für Mobile Geräte
• Seien Sie aufmerksam
• Verschlüsseln Sie wichtige Daten
• Aktivieren Sie Netzwerkverbindungen, nur wenn
notwendig
• Netzzugriffe sollten verschlüsselt durchgeführt
werden (VPN, SSL)

Kompetenzzentrum für elektronischen Geschäftsverkehr KEG Saar
VPN

Schwerpunkt – „VPN“
VPN – Virtual Private
Network

Schwerpunkt – „VPN“
• Nutzung vom öffentlichen Netz zum Transport
privater Daten
• sichere Übertragung über ein unsicheres
Netzwerk
• Verschlüsselung der Verbindung
• Die Übertragung erfolgt über Tunnel zw. den
VPN Client und den VPN Server, kann
verschlüsselt oder auch nicht verschlüsselt
sein

VPN Verbindungsarten
• End-to-End
• Site-to-End
• Site-to-Site

End-to-End VPN

End-to-Site VPN

Site-to-Site VPN

VPN-Techniken
• PPTP
• SSL-VPN (OpenVPN)
• IPSEC
• SSH-Tunnel
• L2TP
• MPLS („DSL-VPN“)

VPN Authentifizierung
• User-Passwort
• Shared Key
• Zertifikate (PKI)
• Auth-Token

VPN – Ein Fazit
• Grundlage für abhör- und
manipulationssichere Kommunikation
• Hohe Wachstumrate von VPNs
• Sinnvolle Lösung um WLANs zu sichern
Jedoch:
- keine Ultimativ-Lösung !!!
- öffnet wieder Wege ins Firmennetz

Fragen???

Kontakt
www.keg-saar.de
• Zentrale für Produktivität und Technologie Saar e. V. (ZPT)
Sabine Betzholz-Schlüter
Tel.: 06 81/ 95 20 - 4 71
E-Mail: info@keg-saar.de
• Institut für Wirtschaftsinformatik (IWi) im Deutschen
Forschungszentrum für Künstliche Intelligenz (DFKI)
Dominik Vanderhaeghen, Johannes Hoen
Tel.: 06 81/ 3 02 – 64092
E-Mail: info@keg-saar.de

Links und Quellen im Netz
• Publikationen der BSI
• „Zen and the art of information security“. Elsevier 2007
• Mission-Critical Security Planner. When Hackers Won’t Take
No for an Answer. Wiley 2003
• Kompass der IT Sicherheitsstandards. V2.0. BITKOM 2006
• Wikipedia.org etc.

Links und Quellen im Netz
• http://www.computervireninfo.de/Definition.html
• http://computerwurm.know-library.net/
• http://www.itwissen.info/definition/lexikon///
__trojan_trojaner.html

Links und Quellen im Netz
• http://www.bsi.de/gshb/Leitfaden/GS-Leitfaden.pdf
• http://www.risknet.de/typo3conf/ext/nf_downloads/pi1
/passdownload.php?&downloaddata=19
• http://www.wikipedia.de
• Publikationen der BSI
• „Zen and the art of information security“. Elsevier 2007
• Mission-Critical Security Planner. When Hackers Won’t
Take No for an Answer. Wiley 2003
• Kompass der IT Sicherheitsstandards. V2.0. BITKOM
2006