Handouts - Prof. Dr. Christoph Karg - Hochschule Aalen

SystemsicherheitLerneinheit 1: EinführungProf. Dr. Christoph KargStudiengang InformatikHochschule AalenSommersemester 201320.3.2013EinleitungEinleitungDiese Lerneinheit ist eine Einführung die Thematik derSystemsicherheit.Es werden folgende Fragen behandelt:• Was versteht man unter IT-Systemen und Datenobjekten?• Welche Schutzziele gibt es?• Welche Bedrohungen und Angriffe existieren?• Welche Schutzmechanismen existieren?Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 2 / 47

BegrifflichesIT-Systeme und InformationenInformationen und Daten• IT-Systeme speichern Informationen• In der Regel werden Informationen durch geeigneteDatenstrukturen repräsentiert• Informationen und die damit verbundenen Daten sindschützenswerte Güter• Daten und die darauf zugreifenden Systeme bezeichnet manauch als (Daten-) Objekte• Unterscheidung⊲ Passives Objekt speichert Informationen⊲ Aktives Objekt speichert und verarbeitet Informationen• Aktive Objekte nennt man auch SubjekteProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 7 / 47BegrifflichesIT-Systeme und InformationenInformationskanäleAufgabe: Austausch von Informationen zwischen IT-Systemen undderen BenutzernUnterscheidung:• Legitimer Kanal Kanal, der von einem Subjekt in der Regelzum Informationsaustausch benutzt wird• Speicherkanal Objekte, die von Subjekten gemeinsam genutztwerden• Versteckter Kanal Kanal, der nicht für denInformationstransfer vorgesehen ist, aber dafür missbrauchtwerden kannProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 8 / 47

BegrifflichesSicherheitsbegriffeArten von SicherheitMan unterscheidet:• Funktionssicherheit• Informationssicherheit• Verlässlichkeit• Datensicherheit• DatenschutzProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 9 / 47BegrifflichesSicherheitsbegriffeArten von Sicherheit (Forts.)Funktionssicherheit (safety) eines IT-Systems:• Keine Annahme von unzulässigen Zuständen• Übereinstimmung der Ist-Funktionalität mit derSoll-FunktionalitätInformationssicherheit (security) eines funktionssicheren IT-Systems:Keine Annahme von Zuständen, die zu einer unautorisiertenGewinnung und Veränderung der gespeichertenInformationen führenProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 10 / 47

BegrifflichesSicherheitsbegriffeArten von Sicherheit (Forts.)Verlässlichkeit (dependability) eines funktionssicheren IT-Systems:Gewährleistung, dass die spezifizierte Funktion zuverlässigerbracht wirdDatensicherheit (protection) eines funktionssicheren IT-Systems:• Keine Annahme von Zuständen, die einen unautorisierten Zugriffauf Systemressourcen und Daten ermöglichen• Wichtig: Berücksichtigung von Backups und SicherungskopienDatenschutz (privacy)Fähigkeit einer natürlichen Person, die Weitergabe vonpersönlichen Informationen zu kontrollierenProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 11 / 47SchutzzieleSchutzziele• Vertraulichkeit• Datenintegrität• Authentizität• Verfügbarkeit• Verlässlichkeit• Beherrschbarkeit• Zurechenbarkeit• Unverkettbarkeit• Nicht-Verfolgbarkeit• Anonymität• PseudonymitätProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 12 / 47

VertraulichkeitSchutzzieleVertraulichkeitVertraulichkeit (confidentiality)Die auf einem IT-System gespeicherten Informationen sindnur befugten Subjekten zugänglichBemerkungen:• Mittels Verschlüsselung schützt man elektronisch gespeicherteDaten vor unberechtigtem Zugriff• Zugriffsrechte regeln den unberechtigten Zugriff aufInformationen• Die Kontrolle des Informationsflusses ist erforderlich, umDurchsickern“ von Informationen zu verhindern”Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 13 / 47DatenintegritätSchutzzieleDatenintegritätDatenintegrität (data integrity)Subjekten ist es nicht möglich, Daten unautorisiert undunbemerkt zu manipulierenBemerkungen:• Datenintegrität erfordert die Festlegung von Zugriffsrechten• Zur Erkennung von Manipulationen kommen kryptografischsichere Hashfunktionen zum EinsatzProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 14 / 47

AuthentizitätSchutzzieleAuthentizitätAuthentizität (authenticity)Echtheit eines Objekts oder Subjekts, die anhand einereindeutigen Eigenschaft überprüfbar istBemerkungen:• Die Überprüfung der Authentizität bezeichnet man alsAuthentifizierung (authentication)• Authentifizierung durch⊲ Wissen (Passwort)⊲ Besitz eines Gegenstands (Schlüsselkarte)⊲ Körperliche Eigenschaft (Biometrie)Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 15 / 47VerfügbarkeitSchutzzieleVerfügbarkeitVerfügbarkeit (availability)Ein System gewährleistet Verfügbarkeit, wennauthentifizierte und autorisierte Subjekte in ihrer Arbeitdurch unautorisierte Zugriffe nicht beeinträchtigt werdenBemerkungen• Auch autorisierte Subjekte können die Verfügbarkeitbeeinträchtigen• Bei Mehrbenutzer-Systemen regeln Zugriffsrechte undQuotierung von Speicherplatz und Rechenzeit die Verfügbarkeit• Bei Rechnernetzen kann ein hohes Datenaufkommen zu einerBeeinträchtigung führenProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 16 / 47

SchutzzieleVerlässlichkeitVerlässlichkeitVerlässlichkeit (dependability/reliability)Ein System kann keine unzuverlässigen (undefinierten)Zustände annehmen (dependability) und erbringt diespezifizierte Funktion zuverlässig (reliability)Bemerkungen:• Verlässlichkeit bezieht sich auf die Sicherheit des Systems• Im Vorfeld muss eine Soll-Funktionalität festgelegt werden, dieals zuverlässig gilt• Die Verlässlichkeit wird anhand von Testverfahren wie Unit Testsoder Nutzungsszenarien überprüftProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 17 / 47SchutzzieleBeherrschbarkeitBeherrschbarkeitBeherrschbarkeit (controllability)Bei einem IT-System treten keine nichttolerierbarenNebenwirkungen aufBemerkungen:• Beherrschbarkeit bezieht sich auf die Sicherheit der Benutzer• Maßnahmen zur Verbesserung der Beherrschbarkeit sind Auditsund die Validierung der zu verarbeitenden Daten• Kein System ist 100%-ig beherrschbar. Es gibt ein gewissesRestrisikoProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 18 / 47

SchutzzieleZurechenbarkeitZurechenbarkeitZurechenbarkeit (accountability)Einem Subjekt kann nachgewiesen werden, dass es eineTransaktion durchgeführt hatAlternative Bezeichnung: Nicht-Abstreitbarkeit (non-repudiation)Bemerkungen:• Zurechenbarkeit ist insbesondere im E-Commerce wichtig• Eine gängige Technik zur Gewährleistung von Zurechenbarkeitist die Überwachung und Protokollierung der Aktionen einesSubjekts• Bei der Datenkommunikation stellt die Gewährleistung vonZurechenbarkeit eine Herausforderung darProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 19 / 47SchutzzieleUnverkettbarkeitUnverkettbarkeitUnverkettbarkeit (unlinkability)Gewährleistung, dass Zugriffe auf verschiedene Ressourcenim Internet nicht miteinander in Verbindung gebrachtwerden könnenBemerkungen:• Unverkettbarkeit ist technisch schwer umzusetzen• Mixing-Ansatz: Verschleierung der Zuordnung von Sender undEmpfänger durch Versand der Datenpakete über zufälliggewählte ”Mix“-ServerProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 20 / 47

SchutzzieleNicht-VerfolgbarkeitNicht-VerfolgbarkeitNicht-Verfolgbarkeit (untraceability)Handlungen und Kommunikationsinhalte eineridentifizierbaren Person sind nicht nachverfolgbarBemerkungen:• Wichtige Anwendung: Digitaler ZahlungsverkehrProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 21 / 47SchutzzieleAnonymitätAnonymitätAnonymität (anonymity)Veränderung der personenbezogenen Daten derart, dass dieInformationen nicht mehr einer bestimmten natürlichenPerson zugeordnet werden könnenBemerkungen:• Voraussetzung: Unverkettbarkeit• Ziel: Entfernung von Zuordnungen von Daten zu Personen, umeine Identifizierung zu erschweren• In der Regel sind Zugriffe auf das Internet oder auf einen Servernicht anonymProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 22 / 47

SchutzzielePseudonymitätPseudonymitätPseudonymität (pseudonymity)Schutz vor namentlicher Identifizierung einer PersonBemerkungen:• Maßnahme: Ersetzen des Namens und andererErkennungsmerkmale durch ein Pseudonym• Beachte: Oft existiert eine Zuordnung zwischen echter Identitätund Pseudonym,Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 23 / 47SchutzzieleTransparenzTransparenzTransparenz (transparency)Durchschaubarkeit des technischen Aufbaus einesIT-Systems und Nachvollziehbarkeit seiner FunktionsweiseBemerkungen:• Gegenteil von Vertraulichkeit• Unterscheidung:⊲ Systemtransparenz: Code Reviews, Audits, Einsatz vonOpen Source Software, . . .⊲ Nutzungstransparenz: Authentisierung von Personen,Protokollierung von Ereignissen, . . .Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 24 / 47

Bedrohungen und AngriffeBedrohungenSchwachstelle und VerwundbarkeitSchwachstelle (weakness)Punkt eines Systems, an dem es verwundbar istVerwundbarkeit (vulnerability)Schwachstelle, über die Sicherheitdienste des Systemsumgangen, getäuscht oder unautorisiert modifiziert werdenkönnenProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 25 / 47BedrohungBedrohungen und AngriffeBedrohungenBedrohung (threat)Mögliche Ausnutzung einer oder mehrerer Schwachstellenoder Verwundbarkeiten, um• einen Verlust der Datenintegrität, der Vertraulichkeitoder der Verfügbarkeit zu erreichen, oder• die Authentizität von Subjekten zu gefährdenProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 26 / 47

Bedrohungen und AngriffeBedrohungenGefährdungsfaktoren• Fahrlässigkeit⊲ Irrtum⊲ Fehlbedienung⊲ unsachgemäße Behandlung• Vorsatz⊲ Manipulation⊲ Einbruch⊲ Hacking⊲ Vandalismus⊲ Spionage⊲ SabotageProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 27 / 47Bedrohungen und AngriffeBedrohungenGefährdungsfaktoren (Forts.)• Technisches Versagen⊲ Stromausfall⊲ Hardware-Ausfall⊲ Fehlfunktionen• Organisatorische Mängel⊲ Unberechtigter Zugriff⊲ Raubkopie⊲ Ungeschultes PersonalProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 28 / 47

Bedrohungen und AngriffeBedrohungenGefährdungsfaktoren (Forts.)• Höhere Gewalt⊲ Blitzschlag⊲ Feuer⊲ Überschwemmung⊲ Erdbeben⊲ Demonstrationen⊲ StreikProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 29 / 47Bedrohungen und AngriffeBedrohungenRisikoRisiko (risk)Unter dem Risiko einer Bedrohung versteht man dieWahrscheinlichkeit des Eintritts eines Schadensereignissesund die Höhe des dadurch hervorgerufenen SchadensBemerkungen:• Der Schaden kann sowohl materiell als auch ideell sein• Die Bedrohungs- und Risikoanalyse hat die Aufgabe, dietatsächlich existierenden Bedrohungen zu ermitteln und zubewertenProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 30 / 47

Bedrohungen und AngriffeBedrohungenZusammenhängeBedrohungspotentialSchwachstellenWerteQuantifizierungBedrohungSchadenspotentialEintrittswahrscheinlichkeitRisikoProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 31 / 47Bedrohungen und AngriffeAngriffe und AngreiferAngriffAngriff (attack)Nicht autorisierter Zugriff bzw. Zugriffsversuch auf einIT-SystemAngriffsarten• Passiver Angriff⊲ Ziel: unautorisierte Informationsgewinnung⊲ Bedrohung: Verlust von Vertraulichkeit• Aktiver Angriff⊲ Ziel: unautorisierte Manipulation von Datenobjekten⊲ Bedrohung: Verlust der Datenintegrität, Störung derVerfügbarkeit eines SystemsProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 32 / 47

Bedrohungen und AngriffeAngriffe und AngreiferAbwehr von Angriffen• Passive Angriffe sind in der Regel nicht zu verhindern• Schutz vor passiven Angriffen bietet die Verschlüsselung derDaten• Schutz vor Angriffen auf die Datenintegrität bieten⊲ Zugriffsbeschränkungen mit einem Rechtesystem und⊲ der Einsatz von kryptografischen Hashfunktionen• Gegen Angriffe auf die Verfügbarkeit schützt man sich durchQuotierung von Ressourcen und dem Überwachen derIT-SystemeProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 33 / 47Bedrohungen und AngriffeAngriffe und AngreiferArten von Angreifern• Hacker⊲ Technisch versierte Angreifer⊲ Ziel: Aufspüren von Schwachstellen und Verwundbarkeiten⊲ Keine kommerziellen Interessen• Cracker⊲ vergleichbar mit Hackern⊲ Unterschied: Angriff wird gezielt durchgeführt, um Drittenzu schadenProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 34 / 47

Bedrohungen und AngriffeAngriffe und AngreiferArten von Angreifern (Forts.)• Skript Kiddies⊲ wenig technisches Know-How, aber viel Zeit⊲ Durchführen von im Internet kursierenden Exploits⊲ Spieltrieb und Neugierde als Triebfeder• Interne Mitarbeiter⊲ Angriffe aufgrund mangelnder Kenntnisse oderunzureichender Schutzmaßnahmen⊲ Unterscheidung zwischen Fahrlässigkeit und VorsatzProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 35 / 47Bedrohungen und AngriffeAngriffe und AngreiferTypische Angriffe• Wirtschaftsspionage⊲ Erlangen von vertraulichen Informationen durch Abhörenvon Informationskanälen oder unautorisiertem Datenzugriff⊲ Sehr hoher wirtschaftlicher Schaden• Botnetze⊲ Präparierung von Tausenden von PCs, um gezielt Angriffeauf ein Zielsystem durchzuführen⊲ Einschleusen der Software durch Viren, Würmer, . . .Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 36 / 47

Bedrohungen und AngriffeAngriffe und AngreiferTypische Angriffe (Forts.)• Erpressung⊲ Einsatz von sogenannter Ransomware, mit der z.B. derInhalt einer Festplatte verschlüsselt wird, um dem Besitzerden Zugriff zu verwehren⊲ Angreifer fordert Geld, um den angerichteten Schaden zubeheben• Bereitstellung ”professioneller“ Dienste⊲ Entwicklung von Malware⊲ Knacken von PasswörternProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 37 / 47Bedrohungen und AngriffeAngriffe und AngreiferTypische Angriffe (Forts.)• Rootkits⊲ Ziel: Erlangen von Administrator (Root) Rechten auf demZielsystem⊲ Angriff weitestgehend automatisch durchführbar• Social Engineering⊲ Angriffe nicht-technischer Natur⊲ Ziel: Opfer gibt unbeabsichtigt sensible Daten preisProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 38 / 47

SchutzmaßnahmenSchutzmaßnahmenUnterscheidung:• Physikalische Maßnahmenz.B. Brandschutz, Gebäudetechnik, Schließanlagen, . . .• Informationstechnische Maßnahmenz.B. Virenscanner, Firewalls, Intrusion Detection, . . .• Organisatorische Maßnahmenz.B. Berechtigungskonzept, Schulung der Mitarbeiter, . . .Voraussetzung: SicherheitsstrategieUmsetzung: SicherheitsinfrastrukturProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 39 / 47SchutzmaßnahmenSicherheitsstrategieDefinition SicherheitsstrategieDie Sicherheitsstrategie (security policy) eines Systems oder einerOrganisationseinheit legt die Menge von• Regeln technischer und organisatorischer Art• Verhaltensrichtlinien• Verantwortlichkeiten• Rollen und• Maßnahmenfest, um die angestrebten Schutzziele zu erreichenProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 40 / 47

SchutzmaßnahmenSicherheitsstrategieArten von Sicherheitsstrategien• benutzerbestimmt Benutzer können die von ihnen vergebenenRechte individuell kontrollieren• rollenbasiert Reglementierung des Zugriffs auf Objekte durchFestlegung von Rollen, in denen Benutzer und Prozesse aktivsein können• systembestimmt Systemglobale a-priori Festlegung vonZugriffsrechtenProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 41 / 47SchutzmaßnahmenBeispiel: PasswortrichtlinieSicherheitsstrategie• All system-level passwords (e.g., root, enable, NT admin) mustbe changed on at least a quarterly basis• All user-level passwords (e.g., email, web, desktop computers,etc.) must be changed at least every six month. Therecommended change interval is every four month• User accounts that have system-level privileges granted throughgroup memberships or programs such as sudo must have aunique password from all other accounts held by that user• Passwords must not be inserted into email messages or otherforms of electronic communicationProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 42 / 47

SchutzmaßnahmenSicherheitsstrategieZusammenhängeBedrohungennutzt ausSchwachstellenschützen gegenerhöhenerhöhenbedrohenKonzepte, Dienste,ProtokolleRisikenAnlagegütererfüllt durchinduzierenbedrohenhabenSchutzzieleSicherheitsrichtlinienWerteProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 43 / 47SchutzmaßnahmenSicherheitsinfrastrukturSicherheitsinfrastruktur• Bestandteil der Systemarchitektur• Festlegung durch die Geschäftsleitung• Aufgaben⊲ Durchsetzung der festgelegten Sicherheitseigenschaften⊲ Bereitstellung von Mechanismen zur Verwaltung dersicherheitsrelevanten Informationen und KonzepteProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 44 / 47

SchutzmaßnahmenSicherheitsinfrastrukturBestandteile einer Sicherheitsinfrastruktur• Zugangskontrolle Welche Subjekte haben Zugang zu den IT-Systemen?• Zugriffskontrolle Auf welche Objekte darf ein Benutzer zugreifen?• Kommunikation Wie wird der Datenverkehr zwischen den Subjektengeschützt?• Ganzheitliche Sicherheit Wie werden die Gebäude und Räume des Unternehmensgeschützt?Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 45 / 47SchutzmaßnahmenOrganisatorische AspekteSicherheitsinfrastruktur• Notfallplan Wie wird auf einen Sicherheitsvorfall reagiert?• Plan für Business Continuity Wie erhält man im Fall eines Vorfalls den Betrieb desUnternehmens aufrecht?• Analyse von Geschäftsprozessen Welche IT-Systeme und Personengruppen sind Teil einesGeschäftsprozesses?• Schulung der Mitarbeiter Welche Schulungen verbessern das Sicherheitsbewusstsein derMitarbeiter?Prof. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 46 / 47

ZusammenfassungZusammenfassung• Aufgabe der IT-Sicherheit ist der Schutz von IT-Systemen undder darauf gespeicherten Informationen• Wichtige Schutzziele sind Vertraulichkeit, Datenintegrität,Authentizität und Datenschutz• Es gibt eine Vielzahl von Bedrohungen, die an denunterschiedlichsten Stellen eines IT-Systems ansetzen• Eine Sicherheitsstrategie legt die angestrebten Schutzziele fest• Die Sicherheitsinfrastruktur ist die Umsetzung derSicherheitsstrategien eines UnternehmensProf. Dr. C. Karg (HS Aalen) Systemsicherheit Einführung 47 / 47