169
www.kaderali.de/ Sicherheit im Informationsalltag Firoz Kaderali

Www.kaderali.de/ Sicherheit im Informationsalltag Firoz Kaderali

Embed Size (px)

Citation preview

www.kaderali.de/

Sicherheit im Informationsalltag

Firoz Kaderali

Kaderali 25.01.2016 2

Sicherheit im Informationsalltag (Inhalt I)

Passwörter, PINs und TANs Phishing Spams Cookies Malware Cloudcomputing Verschlüsselung

Kaderali 25.01.2016 3

Sicherheit im Informationsalltag (Inhalt II)

Bluetooth Smartphones Mobilfunk Navigationssysteme WLan

Kaderali 25.01.2016 4

Sicherheit im Informationsalltag (Inhalt I)

Passwörter, PINs und TANs Phishing Spams Cookies Malware Cloudcomputing Verschlüsselung

Kaderali 25.01.2016 5

Passwörter

Ein Passwort (Schlüssel) ist eine Zeichenfolge, die es ermöglicht ein Konto oder eine Datei (Tresor) zu öffnen. Sie wird also zur Authentifizierung verwendet. Häufig werden nur Zahlenfolgen, immer mehr Zahlenfolgen mit klein und groß Buchstaben und auch Sonderzeichen (ASCII-Zeichen) eingesetzt.

Kaderali 25.01.2016 6

Passwörter

Bei Banken werden Passwörter PIN (Personal Identification Number)1 genannt zur Authentifikation von Personen eingesetzt. Sie ermöglichen es der authentifizierten Person Einblick in sein Konto oder Depot zu nehmen.

1http://de.wikipedia.org/wiki/Pers%C3%B6nliche_Identifikationsnummer

Kaderali 25.01.2016 7

Passwörter

Beispiele von Passwörter:Hotelsafe, Länge üblicherweise 4 ZiffernBankkonto, Depot, Geldautomaten, Kreditkarten, üblicherweise 4 ZiffernKonten bei Online Shops, Zugang zu Firmennetzen, Zugang zu Mailkonten etc. 8 bis 12 Zeichen.Bei SW und Geräteschutz 64 bis 128 Zeichen.

Kaderali 25.01.2016 8

Passwörter

Heute wird die Richtigkeit einer PIN auf einer Karte maschinell gewöhnlich wie folgt überprüft: Die Maschine liest die verschlüsselte PIN von der Karte heraus, entschlüsselt sie und vergleicht die über die Tastatur eingegebene PIN hiermit. Bei Übereinstimmung wird der Zugang zu Datei, Konto oder Geld gewährt.

Kaderali 25.01.2016 9

Passwörter

Bei 4 Ziffern liegt die Wahrscheinlichkeit eine PIN richtig zu raten bei 1: 104 also eins zu zehntausend. Damit man nicht alle zehntausend Ziffern ausprobieren kann, wird die Anzahl der Versuche gewöhnlich auf drei beschränkt. Der Zugang wird bei drei Falscheingaben dann gesperrt und kann entweder über eine übergeordnete PIN (Master PIN) oder durch Eingriff des Kontobetreibers entsperrt. Bei drei Versuchen liegt die Wahrscheinlichkeit eine PIN mit 4 Ziffern zu knacken bei 3/10000 also 1 zu 3333.

Kaderali 25.01.2016 10

Passwörter

Empfehlung des BSI zu Passwörtern:

https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html

Kaderali 25.01.2016 11

Passwörter

Zitat aus BSI Empfehlung (1):Ein gutes Passwort:Sollte mindestens zwölf Zeichen lang sein.Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern bestehen.Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter.Wenn möglich sollte es nicht in Wörterbüchern vorkommen.

Kaderali 25.01.2016 12

Passwörter

Zitat aus BSI Empfehlung (2):Ein gutes Passwort:Sollte nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen.Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.

Kaderali 25.01.2016 13

Passwörter

Außerdem soll man das Passwort regelmäßig erneuern. Empfehlung FernUni alle 2 Monate!Passwörter nie aufschreiben!

Wie soll dies bei meinen gut 100 Passwörtern gehen?

Ein Passwortverwaltungsprogramm oder Tresor verwenden!

Kaderali 25.01.2016 14

Passwörter

Passwortverwaltungsprogramme:http://de.wikipedia.org/wiki/KeePasshttp://www.mobilesitter.de/index_de.phphttp://www.passwordsafe.de/

Bedenken!Hat man Vertrauen zu dem Hersteller des Verwaltungsprogramms?Will man den notwendigen Mehraufwand betreiben?

Kaderali 25.01.2016 15

Passwörter

Kompromissvorschlag:Drei oder vier Kategorien der eigenen Anwendungen bilden nach Sicherheitsbedarf:Kategorie 1: BSI Empfehlungen für jedes Passwort folgenKategorie 2: Gleiches Passwort für je 5 Anwendungen. BSI-Nah!Kategorie 3: Gleiches Passwort für alle Anwendungen. Gelegentlich erneuern.

Kaderali 25.01.2016 16

Passwörter

Um die Sicherheit bei Bankgeschäften zu erhöhen werden neben der Authentifikation durch eine PIN, die den Einblick in ein Konto gewährt, auch eine Authentifikation der einzelnen Transaktionen durch ein einmal verwendbares (meist fünfstelliges) Passwortes TAN (Transaction Authentication Number)1 genannt vorgenommen.

1http://de.wikipedia.org/wiki/Transaktionsnummer

Kaderali 25.01.2016 17

Passwörter

Früher erhielt der Bankkunde eine TAN Liste, von der er die TANs nacheinander zur Authentifikation von Transaktionen (also z.B. von Überweisungen) verwenden konnte.Inzwischen werden die TANs durchnummeriert (indizierte TAN-Liste) und der Kunde wird pro Transaktion zur Eingabe einer TAN mit einer bestimmten Nummer aufgefordert. Hierdurch wird die Sicherheit des Verfahrens erheblich verbessert.

Kaderali 25.01.2016 18

Passwörter

Verfahren mit TAN-Listen haben den Nachteil, dass man sie zur Durchführung einer Transaktion dabei haben muss. Noch schlimmer, die Listen können Kopiert oder gestohlen werden.Es gibt zahlreiche Phishing-Attacken, die darauf zielen, nicht verbrauchte TANs samt Indexnummern zu ergattern.

Kaderali 25.01.2016 19

Passwörter

Die Man-in-the-middle Attacke ist ein ernsthaftes Risiko für das indizierte TAN-Verfahren. Bei diesem Verfahren wird eine Schadsoftware eingesetzt, die sich zwischen dem Kundenrechner und dem Bankserver einschaltet und die Überweisungsdaten in Echtzeit verfälscht. Es werden also die Kontonummer des Empfängers und der Betrag manipuliert. Dem Bankkunden werden dann auch verfälschte Daten angezeigt, die seiner Überweisung entsprechen. Somit wird das Bankkonto geplündert.

Kaderali 25.01.2016 20

Passwörter

Beim Mobile TAN Verfahren (auch SMS TAN genannt) wird zu einer Transaktion die beim Bankserver ankommt, dem Teilnehmer per SMS eine TAN und die Details der Transaktion auf sein Handy zugesandt. Der Teilnehmer kann dann durch Eingabe der TAN die Transaktion frei geben.

Kaderali 25.01.2016 21

Passwörter

Beim Mobile TAN sollte man darauf achten, dass Online-Banking und das TAN-Verfahren nicht vom selben Gerät ausgeführt wird, damit jemand, der das Handy entwendet nicht ungehindert Überweisungen tätigen kann.Inzwischen gibt es kombinierte Attacken gegen das Mobile TAN Verfahren bei dem sowohl der Rechner des Bankkunden als auch sein Handy mit Schadsoftware befallen wird. Insofern ist das Verfahren nicht mehr als sicher einzustufen.

Kaderali 25.01.2016 22

Passwörter (TAN I)

Um die man-in-the-middle Attacke zu unterbinden wurden von verschiedenen Banken elektronische TAN Generatoren entwickelt. Die Einzelheiten der jeweiligen Ausführungen sind unterschiedlich jedoch das Prinzip ist identisch. Von dem Generator wird unter Einbeziehung der Daten der Transaktion (Betrag, Empfängerkonto etc.) eine individuelle TAN erstellt, die der Kunde eingibt, um die Transaktion zu tätigen.

Kaderali 25.01.2016 23

Passwörter (TAN II)

Diese TAN ist zeitlich begrenzt d.h. sie gilt nur für eine kurze Zeit, die gerade ausreicht die Transaktion zu tätigen. Bei dem Bankserver wird mit den gleichen Daten eine TAN erzeugt und die beiden werden in Echtzeit verglichen. Zur Kontrolle werden meist die Transaktionsdaten vom Bankserver dem Kunden erneut zugesandt. Das Verfahren gilt als ausreichend sicher.

Kaderali 25.01.2016 24

Passwörter

Bild aus http://de.wikipedia.org/wiki/Transaktionsnummer

Kaderali 25.01.2016 25

Passwörter

Bild aus http://de.wikipedia.org/wiki/Transaktionsnummer

Kaderali 25.01.2016 26

Passwörter

Bild aus http://de.wikipedia.org/wiki/Transaktionsnummer

Kaderali 25.01.2016 27

Passwörter

Das BSI empfiehlt für Online Banking unter anderem folgendes (1)1:Für Online Banking stets verschlüsselte Verbindung (https://...) verwendenGgf. auch WLAN verschlüsselnPrüfen Sie die Echtheit der Bank WEB-Seite (auch Browserangabe hierzu ansehen!)Online Banking nur vom eigenen Gerät. 1 https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/Sicherheitsmassnahmen/sicherheitsmassnahmen_node.html

Kaderali 25.01.2016 28

Passwörter

Das BSI empfiehlt für Online Banking ferner (2)1:Kein Online Banking über öffentliche Access Points (z.B. Internetcafé)Überweisungslimit mit Bank vereinbarenRegelmäßig Kontobewegungen überprüfenTelefonbanking ist ganz unsicher. Möglichst nicht verwenden!1 https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/Sicherheitsmassnahmen/sicherheitsmassnahmen_node.html

Kaderali 25.01.2016 29

Sicherheit im Informationsalltag (Inhalt I)

Passwörter, PINs und TANs Phishing Spams Cookies Malware Cloudcomputing Verschlüsselung

Kaderali 25.01.2016 30

Phishing

Phishing1 ist der Versuch durch Täuschung der eignen Identität im Internet Daten eines anderen Teilnehmers zu erhalten um damit Betrug zu betreiben oder sie zu Werbezwecke zu missbrauchen. Das Wort Phishing erinnert an Fishing d.h. Angel werfen um Fische zu fangen. Hier geht es um Angel werfen um Passwörter und andere persönliche Daten zu fangen (Ph = Password harvesting).

1 http://de.wikipedia.org/wiki/Phishing

Kaderali 25.01.2016 31

Phishing

Phishing wird gewöhnlich durch verfälschte WEB Seiten, Emails oder SMS eingeleitet. Der Ahnungslose Teilnehmer glaubt mit einem serösen Partner zu kommunizieren und gibt freiwillig persönliche Daten Preis.

32

Phishing

Beispiel Phishing:

Man erhält eine E-Mail die so aussieht wie wenn sie von der eigenen Bank käme und fordert einen auf, seine Daten zu aktualisieren oder PINs und TANs einzugeben. Die E-Mail zeigt zwar als Absender die Internet Adresse der Bank an, ist aber gefälscht und sieht täuschend echt aus. Meist enthält sie im HTML Format einen Link den man anklicken soll, um die geforderten Daten einzugeben. Der Link zeigt zwar die WEB Adresse der Bank an, führt aber zu einer gefälschten Seite. Gibt man die geforderten Daten dort ein, hat man sie verraten.

Kaderali 25.01.2016 33

Phishing

Maßnahmen gegen Phishing:Meist genügt eine gebührende Vorsicht Phishing Attacken zu erkennen. Viele Browser und E-Mailserver zeigen es an, wenn es sich um eine Phishing WEB Seite oder E-Mail handelt.

Kaderali 25.01.2016 34

Phishing

Das BSI rät1 nur gesicherte Seiten (https://…) für Dateneingaben zu verwenden. Hier kann man auf den Schlüsselsymbol klicken um anzusehen von wem die WEB Seite stammt und wer sie zertifiziert hat.

1 https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/schutzmassnamen_node.html

Kaderali 25.01.2016 35

Phishing

Ferner rät das BSI1, dass man den Browser so einstellt, dass bevor aktive Inhalte ausgeführt werden, man gefragt wird, ob sie durchgeführt werden sollen. Hier Vorsicht walten lassen!

Es gibt zu bedenken: Banken oder seriöse Firmen fordern ihre Kunden niemals per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf!

1 https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/schutzmassnamen_node.html

Kaderali 25.01.2016 36

Sicherheit im Informationsalltag (Inhalt I)

Passwörter, PINs und TANs Phishing Spams Cookies Malware Cloudcomputing Verschlüsselung

Kaderali 25.01.2016 37

Spams

Als Spams1 bezeichnet man elektronische Mitteilungen, die einem unerwünscht und unaufgefordert zugestellt werden. Meist handelt es sich um Werbung.

1 http://de.wikipedia.org/wiki/Spam

Kaderali 25.01.2016 38

Spams

Ursprünglich war Spam1 ein Markenname für Dosenfleisch.

Spiced ham = Spam

1 Bild von http://de.wikipedia.org/wiki/Spam

Kaderali 25.01.2016 39

Spams

Während der Rationierung im zweiten Weltkrieg war SPAM ein Nahrungsmittel das überall in Großbritannien fast unbeschränkt verfügbar war. Man aß und aß Spam bis es im Halse stecken blieb! Die Wiederholung bei Mitteilungen im Internet bis man sie nicht mehr sehen kann wird im übertragenen Sinne als Spam bezeichnet.

09.05.2015 40

Spams

Der Anteil von Spam im Emailverkehr ist erheblich – im 4. Quartal 2014 lag dieser bei rund 67% 1. Seitdem ist er etwas gesunken.Im November 2015 lag er bei 54%2.

Spams richten also einen großen wirtschaftlichen Schaden an.

1 http://www.viruslist.com/de/analysis?pubid=200883871 2https://www.symantec.com/security_response/publications/monthlythreatreport.jsp

Kaderali 25.01.2016 41

Spams

Nach deutschem Recht ist es verboten unaufgefordert Werbung per Email zu verschicken. Außer für Werbung werden Spams auch für verschiedene Betrügereien (Phishing) eingesetzt.

Kaderali 25.01.2016 42

Spams

SPAMs Beispiele (1):

SPARKASSE [email protected] ONLINE-BANKING WIRD OHNE UMSTELLUNG GESPERRTwww-sparkasse.de/sicherheit/online-banking <http://atelierif.ro/wp-admin/www.spk.de/spk.sicherheit.htm>

Shoemaker, Helen [email protected] GEWINNMITTEILUNGBeigefügt ist die Originalkopie der preisgekrönte Anzeigeschreiben.

Kaderali 25.01.2016 43

Spams

SPAMs Beispiele (2):

James Gilliard [email protected] meiner Mandanten verstarb vor zwei JahrenEr hinterließ ein Vermögen in Wert von $18.515.000

UPS Tracking Support [email protected], Tracking Number: 4896F3859466 <http://www.ups.com/img/de/email_header_blue.gif> Wichtige Zustellinformationen

Kaderali 25.01.2016 44

Spams

SPAMs Beispiele (3):JAMES ENTWISTLE [email protected]

*****SPAM***** PRIVATE AND VERY URGENTUS AMBASSADOR TO NIGERIAI WANT TO INFORM YOU THAT YOUR UNSETTLE PAYMENT OF $6.4MILLION UNITED STATE DOLLAR

Federal Bureau of Investigation <[email protected]>

# Spam # Links und sonstige Funktionen wurden in dieser Nachricht deaktiviert. We bring to your notice that your Email address has been in our database of scammed victims.

Kaderali 25.01.2016 45

Spams

Einige Tipps zur Vermeidung von Spams1 :Autoresponder möglichst nicht anwendenAuf Werbemails nicht antwortenKeine Links in Werbemails anklickenSpamschutz einschalten (Dienstanbieter, Virenschutz)Filter im Mailprogramm einrichten

1 https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Spam/Schutzmassnahmen/schutzmassnahmen_node.html

Kaderali 25.01.2016 46

Sicherheit im Informationsalltag (Inhalt I)

Passwörter, PINs und TANs Phishing Spams Cookies Malware Cloudcomputing Verschlüsselung

Kaderali 25.01.2016 47

Cookies

Ein Cookie1 (Keks oder Plätzchen) ist eine Textdatei die von einer besuchten WEB-Seite über den Browser beim Surfen im Internet im Rechner des Surfers angelegt wird. Sie enthält im Wesentlichen Daten über die besuchten WEB-Seiten, getätigten Bestellungen usw.

1 http://de.wikipedia.org/wiki/Cookie

Kaderali 25.01.2016 48

Cookies

Einerseits sind Cookies nützlich für den Anwender, da er beim Wiederbesuch der WEB-Seite erkannt wird und bereits eingegebene Daten (Name, Anschrift, Kontonummer etc.) nicht erneut einzugeben braucht. Andrerseits können über Cookies sehr detaillierte persönliche Profile erstellt werden. Diese werden meist aber nicht nur für Werbezwecke genützt.

Kaderali 25.01.2016 49

Cookies

Cookies dürfen nur von der WEB-Seite gelesen werden, die sie angelegt hat. Im Gegensatz zu Trojaner werden Cookies nicht versteckt sondern für den Nutzer einsehbar und löschbar.

Kaderali 25.01.2016 50

Cookies

Es gibt Session Cookies, die meist gelöscht werden wenn man den Browser schließt und Dauer Cookies, die für unbestimmte Dauer auf dem Rechner des Anwenders bleiben. Cookies sollten gelegentlich manuell gelöscht werden.

Kaderali 25.01.2016 51

Cookies

Man kann über den Browser einstellen, ob man generell Cookies erlaubt oder nicht. Bei manchen Anwendungen (z.B. Banken, Vereine, Soziale Gruppen usw.) ist es zwingend Cookies zu gestatten. Man kann über den Browser einstellen, von welchen Seiten Cookies angelegt werden dürfen.

Kaderali 25.01.2016 52

Cookies

Allerdings sind Cookies harmlos insofern als sie keine ausführbaren Programme sind und deshalb keine aktiven Funktionen ausüben1.

1 https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/DerBrowser/GefahrenRisiken/Cookies/cookies_node.html

Kaderali 25.01.2016 53

Cookies

Cookies werden zwar auf Ihrem Rechner abgelegt, sie zu finden ist jedoch schwierig, da sie in versteckten Dateien abgelegt werden. Man muss also zunächst versteckte Dateien sichtbar machen.

Kaderali 25.01.2016 54

Cookies

Man kann auch direkt die versteckte Datei angeben.

Bei Windows 8 lautet diese:

C:\Users\Kaderali\AppData\Local\Microsoft\Windows\INetCookies\Low.

Kaderali 25.01.2016 55

Cookies

Beispiel 1 Cookies:csm-hit s-1H6CHJBF2MX3ZGCA06CQ|1411676922018 www.amazon.de/ 1088 1720753408 30400127 1274823749 30398719 *optimizelySegments%7B%22188132953%22%3A%22direct%22%2C%22189931954%22%3A%22false%22%2C%22189931955%22%3A%22ie%22%2C%22189977163%22%3A%22none%22%2C%22567540727%22%3A%22true%22%7D

Kaderali 25.01.2016 56

Cookies

Beispiel 2 Cookies:ki_t 1418734360719%3B1420395819281%3B1420395821360%3B2%3B3www.holidaycheck.de/ 1600 386724992 30786348 2432341663 30419019 *ki_r www.holidaycheck.de 1600 386724992 30786348 2433122921 30419019 *_pk_id.{145.e84c 9ed3e31968419cd8.1418734361.1.1418734362.1418734361.

Kaderali 25.01.2016 57

Cookies

Beispiel 2 Cookies (Fortsetzung): www.holidaycheck.de/ 1600 519713408 30562002 771293584 30415151 *hcheck_de_session 2 www.holidaycheck.de/ 1600 3158728192 30419023 2342028130 30419019 *tfm_rsi_segs reset www.holidaycheck.de/ 1600 3710691840 30421835 2342496970 30419019 *POPUPCHECK 1420482214312 www.holidaycheck.de/ 1600 3070170880 30419220 2361715855 30419019 *

Kaderali 25.01.2016 58

Cookies

Beispiel 2 Cookies (Fortsetzung 2): _pk_id.145.e84c de1a6c0982facfcf.1420395820.1.1420395822.1420395820. www.holidaycheck.de/ 1600 2186212480 30565870 2437029218 30419019 *_pk_ses.145.e84c *www.holidaycheck.de/ 1600 3248728192 30419023 2437029218 30419019 *yp_rec www.holidaycheck.de/ 1600 3093630080 30419020 2588593480 30419019 *

Kaderali 25.01.2016 59

Cookies

Beispiel 3 Cookies : fewo-direkt.de/ 1600 1092024192 31136773 2306566858 30402518 *optimizelyEndUserId oeu1413308683272r0.2759210696317552fewo-direkt.de/ 1600 1092024192 31136773 2306723102 30402518 *optimizelyBuckets %7B%7D fewo-direkt.de/ 1600 1092024192 31136773 2306723102 30402518 *optimizelyPendingLogEvents %5B%5D

Kaderali 25.01.2016 60

Cookies

Beispiel 3 Cookies (Fortsetzung): __utmz 212501891.1413308685.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)fewo-direkt.de/ 1600 1189610624 30439231 2328505392 30402518 *__utmept marketingfewo-direkt.de/ 1600 3144079488 30402522 2328349134 30402518 *__utmep buchungsprozess fewo-direkt.de/ 1600 3144079488 30402522 2328349134 30402518 *

Kaderali 25.01.2016 61

Cookies

Beispiel 3 Cookies (Fortsetzung 2):__utmv 212501891.|6=Visitor%20Type=traveller=1fewo-direkt.de/ 1600 2081563776 30549369 2328505392 30402518 *fewo-direkt.de/ 1600 2453948672 30402518 2310983778 30402518 *_ga GA1.2.1269201438.1413308685fewo-direkt.de/ 1600 2081563776 30549369 2327099396 30402518 *_gat 1 fewo-direkt.de/ 1600 4028981376 30402519 2328036671 30402518 *

Kaderali 25.01.2016 62

Cookies

Beispiel 3 Cookies (Fortsetzung 3): __utma 212501891.1269201438.1413308685.1413308685.1413308685.1fewo-direkt.de/ 1600 2081563776 30549369 2328974161 30402518 *__utmb 212501891.1.10.1413308685 fewo-direkt.de/ 1600 3144079488 30402522 2328974161 30402518 *

Kaderali 25.01.2016 63

Sicherheit im Informationsalltag Inhalt (I)

Passwörter, PINs und TANs Phishing Spams Cookies Malware Cloudcomputing Verschlüsselung

Kaderali 25.01.2016 64

Malware

Schadprogramme auch Malware1 genannt sind Computerprogramme die auf einem Computer nicht erwünschte und gar schädliche Funktionen ausführen. Die Programm ausführung ist getarnt und läuft meist unbemerkt im Hintergrund.

1http://de.wikipedia.org/wiki/Schadprogramm

Kaderali 25.01.2016 65

Malware

Zu Malware gehören unter anderem

Viren, Würmer, Trojaner, Back door, Spyware, Adware und Dailer.

Kaderali 25.01.2016 66

Malware

Viren sind Schadprogramme die sich selbständig verbreiten in dem sie Kopien von sich selbst in Programme, Dokumente oder Datenträger schreiben.

Die Kopien tun das gleiche. Die Malfunktionen, die sie ausüben können vielfältig sein.

Kaderali 25.01.2016 67

Malware

Würmer sind ähnlich wie Viren jedoch sie verbreiten sich direkt über Netze oder andere Medien (z.B. USB Stick).

Kaderali 25.01.2016 68

Malware

Trojaner sind Schadprogramme, die sich meist in nützliche Wirtsprogramme einbetten und Malfunktionen ausführen. Sie verbreiten sich durch Installation des infizierten Wirtsprogramms. Sie werden auch verwendet um weitere Malware zu verbreiten.

Kaderali 25.01.2016 69

Malware

Ein Back Door (Hintertür) ist eine versteckte Softwarefunktion, die es ermöglicht die Authentifikation, Virenschutz und ähnliche Kontrollmaßnahmen zu umgehen um auf Soft- oder Hardware zuzugreifen. Solche Zugriffsrechte ermöglichen es Daten zu sammeln und weiter zu versenden oder Malware zu verbreiten.

Kaderali 25.01.2016 70

Malware

Spyware sind Schadprogramme die ohne Zustimmung und ohne Wissen des Anwenders dessen persönliche Daten (vor allem Daten über sein Verhalten) sammeln und versenden.

Kaderali 25.01.2016 71

Malware

Adware sind Schadprogramme die Werbung verbreiten (Ad = Advertisement).

Kaderali 25.01.2016 72

Malware

Dialer sind Schadprogramme, die automatisch Wählverbindungen herstellen.

Kaderali 25.01.2016 73

Malware

Folgendes Bild zeigt die Verbreitung von Malware

Das Bild stammt von http://de.wikipedia.org/wiki/Schadprogramm

Kaderali 25.01.2016 74

Malware

Das BSI empfiehlt1 bei Microsoft Betriebssystemen dringend ein Viren schutz Programm zu verwenden, bei Linux und Mac ist das nicht erforderlich.

Für den privaten Nutzer sind in der Regel kostenfreie Antivirusprogramme ausreichend.

1 https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogramme/virenschutzprogramme_node.html

Kaderali 25.01.2016 75

Malware

Das BSI empfiehlt1 bei Microsoft Betriebssystemen dringend ein Viren schutz Programm zu verwenden, bei Linux und Mac ist das nicht erforderlich.

Für den privaten Nutzer sind in der Regel kostenfreie Antivirusprogramme ausreichend.

1 https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogramme/virenschutzprogramme_node.html

Kaderali 25.01.2016 76

Malware

Das BSI empfiehlt1 bei Microsoft Betriebssystemen dringend ein Viren schutz Programm zu verwenden, bei Linux und Mac ist das nicht erforderlich.

Für den privaten Nutzer sind in der Regel kostenfreie Antivirusprogramme ausreichend.

1 https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogramme/virenschutzprogramme_node.html

Kaderali 25.01.2016 77

Malware

Beispiele für kostenlose Antivirusprogramme sind:

Avira Free Antivirus (http://free-av.de) avast! Free Antivirus (https://www.avast.com/de-de/free-antivirus-download). Eine verhaltensbasierte Erkennung von Schadsoftware ist in dieser Lösung bereits integriert AVG Anti-Virus Free (http://free.avg.com/de-de/startseite)

Kaderali 25.01.2016 78

Malware

Ich selbst verwende Sophos, das von der FernUniversität (wie auch von vielen anderen Universitäten) für ihre Studenten und Mitarbeiter kostenlos zur Verfügung gestellt wird. Man kann sie automatisch auf dem aktuellen Stand halten.

Kaderali 25.01.2016 79

Malware

Virenscanprogramme suchen nach Signaturen (Fingerprints) von Schadprogrammen und ermöglichen es, sie zu isolieren und zu entfernen.

Antivirussoftware sollte deshalb stets auf aktuellem Stand gehalten werden!

Man sollte die Autoprotect Funktion einschalten – damit wird bei jedem Start das Programm aufgerufen und läuft im Hintergrund durch. Die Online Scan Funktion Überwacht den Rechner in Echtzeit.

Kaderali 25.01.2016 80

Sicherheit im Informationsalltag (Inhalt I)

Passwörter, PINs und TANs Phishing Spams Cookies Malware Cloudcomputing Verschlüsselung

Kaderali 25.01.2016 81

Cloud Computing

Unter Cloud Computing versteht man ein dynamisches, Bedarfsorientiertes überall und jederzeit verfügbares Angebot an IT-Leistungen über das Netz.

Das Angebot umfasst Rechenleistung, Speicherplatz, diverse IT- Dienste einschließlich Anwendungs programme. Abgerechnet wird nach tatsächlicher Nutzung.

Kaderali 25.01.2016 82

Cloud Computing

Nach NIST (US National Institute of Standards and Technology) weisen Cloud Dienste folgende fünf Merkmale auf 1:Bedarfsorientierte SelbstbedienungVerfügbar über standardisierte NetzschnittstellenRessourcenteilungSchnell und flexibel automatisch konfigurierbarRessourcennutzung wird überwacht und gemessen. Abrechnung nach tatsächlicher Nutzung.1 Peter Mell Timothy Grance, NIST Special Publication 800-145: The NIST Definition of Cloud Computing

Kaderali 25.01.2016 83

Cloud Computing

Für den Anwender haben Cloud Dienste den Vorteil, dass er keine Ressourcen vorhalten muss sondern flexibel bei Bedarf unbegrenzt auf sie zugreifen kann.

Kaderali 25.01.2016 84

Cloud ComputingDafür treten zahlreiche sicherheitsrelevante Nachteile ein1 :Zugang zu Cloud Dienste ist über Endgeräte und Netze – beide können ein Risiko darstellenMan vertraut private Daten einem Dritten zur Auf-bewahrung. Es können Probleme bei der Datensicherung (z.B. Klau durch Mitarbeiter), der Datenlöschung (es werden mehrere Kopien an verschiedenen Orten gespeichert!) und der Datenverschlüsselung (sowohl auf den Übermittlungsstrecken als auch bei der Speicherung) kommen. 1 https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/CloudComputing/GefahrenRisiken/gefahrenrisiken_node.html;jsessionid=B5BA549084F3137B569C82C32D922A6B.2_cid369

Kaderali 25.01.2016 85

Cloud Computing

Weitere sicherheitsrelevante Nachteile:

Es können Probleme bei Datenbackups und Datenverlust geben.

Meist hat der Anwender keinen Überblick wo sich die Daten befinden. Im Ausland?

Was ist, wenn Dienstanbieter Insolvenz anmeldet?

Kaderali 25.01.2016 86

Cloud Computing

Fazit: Cloud Dienste sind mit erheblichen Risiken verbunden und sollten von Privatnutzern nicht verwendet werden.

Kaderali 25.01.2016 87

Sicherheit im Informationsalltag (Inhalt II)

Passwörter, PINs und TANs Phishing Spams Cookies Malware Cloudcomputing Verschlüsselung

Kaderali 25.01.2016 88

Verschlüsselung

Verschlüsselungsverfahren1 werden eingesetzt um die Vertraulichkeit von Nachrichten im Netz zu gewährleisten. Sie können aber darüber hinaus auch eingesetzt werden um die Integrität der Nachrichten und deren Authentizität zu überprüfen.

1http://de.wikipedia.org/wiki/Verschl%C3%BCsselungsverfahren

Kaderali 25.01.2016 89

Verschlüsselung

Symmetrische Verschlüsselungsverfahren1

funktionieren wie folgt:Die Nachricht m (eine Folge von Symbolen) wird vom Sender mit einem Schlüssel k (auch eine Folge von Symbolen) mathematisch verknüpft, um eine verschlüsselte Nachricht c zu ergeben. Die mathematische Verknüpfung E hat die Eigenschaft, dass die verschlüsselte Nachricht c sinnlos und willkürlich erscheint und ohne Kenntnis des Schlüssels k die ursprüngliche Nachricht daraus nicht zu entziffern ist. Man kann daraus auch den Schlüssel k nicht ableiten. 1http://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem

Kaderali 25.01.2016 90

Verschlüsselung

Kaderali 25.01.2016 91

Verschlüsselung

Symmetrische Verschlüsselungsverfahren1

funktionieren wie folgt (Fortsetzung):

Hat der Empfänger den (gleichen) Schlüssel k, kann er die Verknüpfung erneut durchführen, um die ursprüngliche Nachricht wieder zu erhalten. Das Problem bei diesem Verfahren ist, dass man einen sicheren Weg finden muss um den Schlüssel k vom Sender zum Empfänger zu bringen. In der Praxis werden deshalb Asymmetrische Verfahren verwendet, um den Schlüssel zu übertragen.

Kaderali 25.01.2016 92

Verschlüsselung

Kaderali 25.01.2016 93

Verschlüsselung

Bei asymmetrischen Verschlüsselungsverfahren1 werden zwei aufeinander abgestimmte Schlüssel erstellt. Der Schlüssel ke wird privater Schlüssel des Senders genannt und wird zur Verschlüsselung der Nachricht m verwendet und ist nur dem Sender der Nachricht bekannt und wird geheim gehalten. Der Schlüssel kd wird öffentlicher Schlüssel genannt und wird in öffentlichen Verzeichnissen als der öffentliche authentifizierte Schlüssel des Senders bekanntgegeben. Damit ist er jedem zugänglich.

1http://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem

Kaderali 25.01.2016 94

Verschlüsselung

Kaderali 25.01.2016 95

Verschlüsselung

Die mathematische Verknüpfung E hat die Eigenschaft, dass die verschlüsselte Nachricht c sinnlos erscheint und daraus weder die Nachricht m noch der Schlüssel ke abgeleitet werden kann.

Die mathematische Verknüpfung D hat die Eigenschaft, dass sie aus der Verschlüsselten Nachricht c wieder die ursprüngliche Nachricht m ableitet, dabei bleibt der Schlüssel ke geheim.

Kaderali 25.01.2016 96

Verschlüsselung

Kaderali 25.01.2016 97

Verschlüsselung

Das Verfahren hat die Eigenschaft, dass man damit eine Nachricht Verschlüsseln kann (Vertraulichkeit) aber auch, dass die ursprüngliche Nachricht nicht verändert werden kann (Integrität). Man kann es außerdem verwenden, um die Authentizität des Senders zu überprüfen. Hierzu legt man dem Sender eine Nachricht zur Verschlüsselung vor. Kann man aus der verschlüsselten Nachricht nun mit dem öffentlichen Schlüssel und der Verknüpfung D die ursprüngliche Nachricht wieder herstellen, so bedeutet dies, dass der Sender den privaten Schlüssel ke kennt. Damit ist er eindeutig identifiziert, denn nur er kennt diesen.

Kaderali 25.01.2016 98

Verschlüsselung

Die verwendeten mathematischen Verknüpfungen D und E charakterisieren die jeweiligen Verschlüsselungs-verfahren. Auch die Erzeugung der Schlüssel muss sorgfältig vorgenommen werden, denn es gibt starke und schwache Schlüssel. Wird die Verschlüsselung Bitweise oder Byteweise vorgenommen (Stromchiffre) ist sie schnell. Wird sie Blockweise vorgenommen (Blockchiffre) können erhebliche Verzögerungen entstehen.

Kaderali 25.01.2016 99

Verschlüsselung

Symmetrische Verfahren sind gewöhnlich sehr schnell, asymmetrische Verfahren dagegen meist rechenintensiv und deshalb recht langsam. Deswegen werden oft hybride Verfahren verwendet bei dem ein asymmetrisches Verfahren zur gesicherten Schlüssel-übertragung verwendet wird mit dem dann die Nachricht symmetrisch verschlüsselt wird.

Kaderali 25.01.2016 100

Verschlüsselung

Das bekannteste symmetrische Blockchiffreverfahren ist das DES-Verfahren (Data Encryption Standard)1. Mit einer Blockgröße von 64 Bit und einer Schlüssellänge von 56 Bit wird er inzwischen als unsicher betrachtet. Eine Variante bei der er dreimal angewendet wird (tripple DES) wird als sicherer angesehen und heute noch verwendet.

1 http://de.wikipedia.org/wiki/Data_Encryption_Standard

Kaderali 25.01.2016 101

Verschlüsselung

Das bekannteste asymmetrische Verfahren ist das RSA-Verfahren1 benannt nach Rivest, Shamir und Adleman, die das Verfahren bei MIT entwickelten und 1977 veröffentlichten. Es gab viele Angriffe gegen das RSA-Verfahren und es wurde immer weiter verbessert und häufig gemeinsam mit anderen Verfahren eingesetzt. In einer solchen Kombination wird es meist als sicher betrachtet.

1 http://de.wikipedia.org/wiki/RSA-Kryptosystem

Kaderali 25.01.2016 102

Verschlüsselung

Solche kombinierten Verfahren werden in vielen Anwendungen eingesetzt so z.B. bei E-Mails (PGP, S/MIME), diversen Kryptoprotokollen (SSH, SSL) als auch in der Browser-Server-Kommunikation (HTTPS).

Ende 2013 wurde dann bekannt, dass NSA (National Security Agency der USA) einen Vertrag mit der Firma RSA abgeschlossen hat, Hintertürchen (Back doors) in RSA Produkte einzubauen1.

1 http://www.reuters.com/article/2013/12/20/us-usa-security-rsa-idUSBRE9BJ1C220131220

Kaderali 25.01.2016 103

Verschlüsselung

Das Dilemma bei der Verschlüsselung ist: Man kann einen hohen Aufwand betreiben um ein Kryptosystem sicher zu machen, man muss aber auch damit rechnen, dass ein Angreifer ebenso einen sehr hohen Aufwand betreiben könnte, um das System zu brechen.

Kaderali 25.01.2016 104

Verschlüsselung

Ein gravierender Schwachpunkt der Verschlüsselung liegt in der Implementierung. Das mathematische Verfahren kann sehr sicher gemacht werden, es gibt aber keine Sicherheit, dass in der Implementierung nicht betrogen wird, denn Software nach Sicherheit zu überprüfen gestaltet sich schwierig. Hinzukommt, dass menschliche Schwächen ausgenützt werden, um z.B. geheime Schlüssel zu kompromittieren.

Kaderali 25.01.2016 105

Verschlüsselung

Fazit: Verschlüsselung ist unbequem, aufwendig, verlangsamt die Kommunikation und ist nicht absolut sicher. Sie wird deshalb ungern eingesetzt. Allerdings bietet sie eine gute Vertraulichkeit, denn sie kann nicht ohne das entsprechende Know-how gebrochen werden. Dokumente und Nachrichten sind somit durch eine Verschlüsselung in der Regel gut geschützt.

Kaderali 25.01.2016 106

Verschlüsselung

Folgende Verfahren zur Verschlüsselung werden heute für verschiedene Anwendungen eingesetzt:

PGP (Pretty Good Privacy)S/MIME (Secure / Multipurpose Internet Mail Extensions)SSH (Secure Shell)TLS (Transport Layer Security) früher SSL (Secret Socket Layer)HTTPS (Hypertext Transport Protocol / Secure)

Kaderali 25.01.2016 107

Verschlüsselung

PGP (Pretty Good Privacy)1

PGP wird zur Verschlüsselung von E-Mails verwendet und kann eingesetzt werden um E-Mails vertraulich zu halten, ihre Integrität zu wahren und den Sender der E-Mail zu authentifizieren.

1 http://de.wikipedia.org/wiki/Pretty_Good_Privacy

Kaderali 25.01.2016 108

Verschlüsselung

PGP wurde von Phil Zimmermann entwickelt und 1991 in der ersten Version gegen geltende US Gesetze weltweit als freie Software verfügbar gemacht. Heute wird PGP von der Firma Symantec in Kalifornien vertrieben und in einer eingeschränkten Version auch als Freeware Angeboten*.

* http://www.pgpi.org/ http://cryptography.org/getpgp.htm http://de.wikipedia.org/wiki/GNU_Privacy_Guard

Kaderali 25.01.2016 109

Verschlüsselung

Die Verschlüsslung bei PGP wird, um Rechenaufwand zu verringern (und somit die Geschwindigkeit des Verfahrens zu erhöhen), in zwei Schritten durchgeführt.Im ersten Schritt wird vom Sender ein symmetrischer Schlüssel erzeugt und mit einem Asymmetrischen Verfahren dem Empfänger der Nachricht übermittelt. Hierzu wird meist das RSA-Verfahren, heute zunehmend auch das auf diskreter Logarithmus basierendes Elgamal-Verfahren1 verwendet.

1 http://de.wikipedia.org/wiki/Elgamal-Verschl%C3%BCsselungsverfahren

Kaderali 25.01.2016 110

Verschlüsselung

RSA Verschlüsselung in zwei Schritten (Fortsetzung):Im zweiten Schritt wird dann die Nachricht mit einem symmetrischen Verfahren verschlüsselt übertragen. Für die symmetrische Verschlüsselung wurde zunächst das DES-Verfahren, dann das tripple DES und heute häufig das in Europa von James L. Massey entwickelte IDEA-Verfahren1 oder ebenso in Europa von Joan Daemen und Vincent Rijmen entwickelte AES-Verfahren2 verwendet.1http://de.wikipedia.org/wiki/International_Data_Encryption_Algorithm 2http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Kaderali 25.01.2016 111

Verschlüsselung

S/MIME (Secure / Multipurpose Internet Mail Extensions)1

S/MIME ist eine alternative zu PGP (insbesondere free PGP) und wird auch von vielen Betriebssystemen, Browser und Zertifizierungsstellen teilweise kostenlos unterstützt. Wie bei PGP handelt es sich um ein hybrides Verfahren (Kombination von symmetrischen und asymmetrischen Verschlüsselung).

1 http://de.wikipedia.org/wiki/S/MIME

Kaderali 25.01.2016 112

Verschlüsselung

SSH (Secure Shell)1

Secure Shell ist ein Verfahren zur Sicheren Kommunikation zwischen einem Rechner (Server) und einem Endgerät (Client). Er wurde von Tatu Ylönen entwickelt und 1995 als free ware angeboten. Ursprünglich handelte es sich um einen Satz von Kommandozeilen zur Fernsteuerung. Heute wird SSH von SSH Communications Security AG in Helsinki gepflegt, weiterentwickelt und kommerziell vertrieben.

1 http://de.wikipedia.org/wiki/Secure_Shell

Kaderali 25.01.2016 113

Verschlüsselung

TLS (Transport Layer Security) früher SSL (Secret Socket Layer)

TLS/SSL ist ein hybrides Verschlüsselungsverfahren zur Datenübertragung im Internet und wird als Freeware1 angeboten. Fast alle Browser setzen TLS in unterschiedlichen Varianten meist mit RSA und AES ein. Es wurde von Netscape entwickelt und 1994 zusammen mit HTTPS in ihrem Browser eingesetzt.

1 http://de.wikipedia.org/wiki/Transport_Layer_Security http://de.wikipedia.org/wiki/OpenSSL http://de.wikipedia.org/wiki/GnuTLS

Kaderali 25.01.2016 114

Verschlüsselung

HTTPS (Hypertext Transport Protocol / Secure)1

HTTPS ist ein Kommunikationsprotokoll im WWW (World Wide Web) um Daten sicher zu übertragen. Es wurde von Netscape entwickelt und 1994 zusammen mit SSL in ihrem Browser eingesetzt, Heute bieten alle Browser HTTPS mit verschiedenen hybriden Verfahren an.

1http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure

Kaderali 25.01.2016 115

Verschlüsselung

Bei allen Anwendungen von HTTPS wird die Verbindung zur WEB-Seite automatisch verschlüsselt und im Adressfeld des Browsers angezeigt, dass die Verbindung verschlüsselt ist, woher die Seite stammt und von wem dies verifiziert wurde.

Kaderali 25.01.2016 116

Sicherheit im Informationsalltag (Inhalt II)

Bluetooth Funknetze und Handys Mobilfunk Satellitennavigationssysteme WLan

Kaderali 25.01.2016 117

Bluetooth

Bluetooth ist ein Protokoll für die drahtlose Übertragung von Informationen über ein lokales Funknetz (WPAN - Wireless Personal Area Network) über eine kurze Distanz von maximal 10 Metern. Hauptanwendung von Bluetooth ist der Ersatz von Kabelverbindungen zwischen Geräten. Viele Geräte u.a. Handys, Tabletts, Drucker, Rechner verfügen über diese Schnittstelle. Vielen Anwendern ist dies nicht bewusst und Bluetooth ist im Hintergrund aktiv, wodurch eine ernste Sicherheitslücke entsteht.

Kaderali 25.01.2016 118

Bluetooth

Es gibt zahlreiche Verhaltensregeln, um die Sicherheit von Bluetooth zu erhöhen siehe z.B. * . Hier die wichtigsten:

Bluetooth nur bei Bedarf einschalten und anschließend wieder abschaltenVerbindung möglichst nur in geschützter Umgebung aufbauen also z.B. nicht im Straßencafé, Kneipe etc.Handy unsichtbar machen (Menu Einstellung). Bluetooth bleibt aktiv, Handy wird anderen nicht angezeigt. + + +

* http://www.t-online.de/handy/smartphone/id_41666228/bluetooth-handy-vor-hacker-angriffen-sichern-.html

Kaderali 25.01.2016 119

Bluetooth

Verhaltensregeln, um die Sicherheit von Bluetooth zu erhöhen* (2):

Bluetooth ist beim Verbindungsaufbau am anfälligsten. Bekannte Geräte deshalb permanent abspeichern, damit nicht erneut Verbindungen aufgebaut werden müssen. Nur Verbindungen zu bekannten Geräten zulassen.Wenn bei bereits bestehenden Verbindung wieder nach der Authentifizierung gefragt wird, versucht wahrscheinlich ein zweites Gerät eine Verbindung aufzubauen. Verbindung abbrechen!

Kaderali 25.01.2016 120

Bluetooth

Verhaltensregeln, um die Sicherheit von Bluetooth zu erhöhen* (3):

Bluetooth baut häufig automatisch eigenständig Verbindungen auf. Immer mal nachschauen (Menu Einstellung) mit welchen Geräte Verbindungen aufgebaut werden. Unbekannte Geräte löschen!

* http://www.t-online.de/handy/smartphone/id_41666228/bluetooth-handy-vor-hacker-angriffen-sichern-.html

Kaderali 25.01.2016 121

Sicherheit im Informationsalltag (Inhalt II)

Bluetooth Funknetze und Handys Mobilfunk Satellitennavigationssysteme WLan

Kaderali 25.01.2016 122

Funknetze und Handys

Funknetze sind Netze in denen Informationen über elektromagnetische Wellen übertragen werden. Es handelt sich also um drahtlose Systeme. Beispiele von Funknetzen sind: Bluetooth, WLan, Mobilfunk (GSM, UMTS), Satellitennavigationssysteme (GPS, Galileo).

Kaderali 25.01.2016 123

Funknetze und Handys

Funk Netze sind besonders gefährdet, da die elektromagnetischen Wellen auch von Unberechtigten empfangen werden können.Deshalb empfiehlt es sich die Informationen zu verschlüsseln.

Kaderali 25.01.2016 124

Funknetze und Handys

Eine weitere Schwachstelle von Funknetzen sind die Endgeräte (Handys, Smartphones etc.), da diese mobil sind und leicht entwendet werden können. Laut einer Studie der Firma Lookout* verliert jeder deutsche alle drei Jahre sein Handy!

* https://www.lookout.com/de/news-mobile-security/lookout-lost-phones-30-billion1

Kaderali 25.01.2016 125

Funknetze und Handys

Es gibt viele Tipps zum sicheren Umgang mit seinem Handy. Hier die wichtigsten* :

Kein Rückruf an unbekannte Nummern oder Mehrwertdiensten.Keine vertraulichen Gespräche übers Handy – sie können abgehört werden!Bei Installation von Apps nur seriöse Anbieter und Überprüfung auf welcher Daten zugegriffen wird.

* https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_node.html?gtp=4581966_list%253D2

Kaderali 25.01.2016 126

Funknetze und Handys

Tipps zum sicheren Umgang mit seinem Handy* (2) :

Tastatursperre, Displaysperre verwenden und SIM / USIM Pin verwenden. Voreingestellt Passwörter ändern!Drahtlose Schnittstellen (Bluetooth, WLAN) nur bei Bedarf aktivieren und wieder abschalten.Bei öffentlichen Hotspots Zugang über gesicherte Verbindung (SSL, Https, VPN) und keine sensitive Anwendungen (z.B. Online Banking)

* https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_node.html?gtp=4581966_list%253D2

Kaderali 25.01.2016 127

Funknetze und Handys

Tipps zum sicheren Umgang mit seinem Handy* (3) :Regelmäßige Sicherheitsupdates, keine SW von unbekannten Anbietern, nur vertrauenswürdige Quellen.Bei Rückgabe / Aufgabe von Handy alle Daten löschen, SIM Karte entnehmen ggf. vernichten.

* https://www.bsi-fuer-buerger.de/BSIFB/DE/ Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_node.html?gtp=4581966_list%253D2

Kaderali 25.01.2016 128

Funknetze und Handys

Gespräche über Handys verschlüsseln ist meist benutzerunfreundlich, oft teuer und hilft nicht wirklich – denn man kann nie sicher sein, dass die Verschlüsselungssoftware keine Hintertürchen enthält oder Professionelle die Verschlüsselung nicht bereits geknackt haben!

Kaderali 25.01.2016 129

Funknetze und Handys

Der Bedarf Handys zu Orten oder gar zu verfolgen ist groß. Dies belegen die entsprechenden vielfältigen Angebote im Netz.

Kaderali 25.01.2016 130

Funknetze und Handys

Anbieter von Ortungsdienste stammen aus folgenden drei Bereichen:Netzanbieter (wie Telekom, Vodafone, O2 usw.)Gerätehersteller oder Betriebssystemanbieter (wie Sony, Apple, Android, Microsoft, etc.) undSicherheit und Software Anbieter (wie Norton, F-Secure, Lookout, Prey, Avast usw.)

Kaderali 25.01.2016 131

Funknetze und Handys

Typische Anwendungen sind:Eigenes verlegtes oder gestohlenes Handy zu orten und weitere Maßnahmen einzuleitenSeine Kinder, Ehepartner, Bekannte usw. zu überwachenMitarbeiter im Außendienst zu ortenEinsatzfahrzeuge z.B. von Transportunternehmen zu verfolgenKriminelle zu verfolgen… usw.

Allerdings ein Handy zu orten ohne das Einverständnis des Inhabers

Kaderali 25.01.2016 132

Funknetze und Handys

Das Orten eines Handys ohne die Zustimmung des Inhabers ist in Deutschland eine Straftat.Man darf dies lediglich bei den eigenen minderjährigen Kindern vornehmenOb die Polizei oder andere staatliche Behörden ein gestohlenes Handy ohne weiteres orten dürfen ist zurzeit umstritten – in Ernstfällen (Gefahr im Verzug) sicher gestattet.

Kaderali 25.01.2016 133

Funknetze und Handys

Grundsätzlich gibt es zwei Verfahren ein Handy zu orten:

über das Mobilfunknetz (GSM oder UMTS) oderüber das Navigationssystem (GPS oder künftig Galileo)

Kaderali 25.01.2016 134

Funknetze und Handys

Jedes Gerät in einem Mobilfunknetz befindet sich stets in Kontakt mit dem Netz über Funkzellen. Damit ist seine Position grob bekannt. In Städten ist gewöhnlich der Umfang der Funkzellen klein, auf dem Land allerdings groß. Die Position kann also mal genau, mal ziemlich ungenau (einige Meter bis einige Kilometer) geortet werden.

Kaderali 25.01.2016 135

Funknetze und Handys

Betreiben die Netzanbieter im Einzelfall mehr Aufwand, besteht die Möglichkeit ein Gerät genauer zu orten. Hier kommen Methoden zum Einsatz wie: über drei Funkzellen das Gerät orten, die Entfernung des Gerätes zu Funkmasten über Zeitverzögerungen zu bestimmen usw. Prinzipiell ist also die Ortung über Funknetze grob, im Einzelfall doch recht genau.

Kaderali 25.01.2016 136

Funknetze und Handys

Jedes Gerät hat eine eindeutige Kennung – die IMEI (International Mobile Equipment Identity).

Man erfährt diese von seinem Handy, wenn man *#06#

eingibt.Es ist hilfreich, diese zu kennen, um beim Verlust das Handy schnell zu identifizieren.

Kaderali 25.01.2016 137

Funknetze und Handys

Das Navigationssystem GPS ist recht genau. Über eine Verbindung zu 6 Satelliten kann das Endgerät seine Position auf 10 Meter genau bestimmen – bei Galileo auf 1 Meter genau. Nur Handys, die GPS Funktionalität unterstützen können eine Ortung durchführen – älter Geräte können dies also nicht. Smartphones haben diese Funktionalität, kennen dadurch ihre Position und nutzen entsprechend ortsgebundene Dienste.Zur externen Ortung braucht man also nur diese Information von dem Smartphone zu bekommen.

Kaderali 25.01.2016 138

Funknetze und Handys

Eine Ortung über das Mobilfunknetz ist nur möglich, wenn das Handy eingeschaltet ist (eventuell im Power Down Modus) und Verbindung zum Mobilfunknetz hat. Entsprechend ist eine Ortung im Navigationssystem nur möglich, wenn das Gerät eingeschaltet ist (eventuell im Power Down Modus) und Verbindung zu einigen Satelliten hat. Außerdem ist eine Internetverbindung erforderlich, um nach der Positionsbestimmung die Daten zu übermitteln.

Kaderali 25.01.2016 139

Funknetze und Handys

Es ist allerdings auch möglich, Funktionen in das Handy einzuschleusen, die es verhindern, dass das Handy faktisch abgeschaltet wird. Es bleibt unbemerkt verbunden mit GSM, GPS und dem Internet.Ferner gibt es die Möglichkeit stille SMS an das gestohlene Gerät zu senden, die nicht erkannt werden. Sie werden nicht angezeigt, geben keinen Tonhinweis, bewirken aber, das das Handy seine Daten einschließlich Standort zurücksendet.

Kaderali 25.01.2016 140

Funknetze und Handys

Es gibt mehr als hundert kostenlose und kostenpflichtige Apps sein verlorenes Handy zu orten, Daten davon herunterzuladen, alle Daten zu löschen, Bilder zu schießen und zu übermitteln, die SIM Karte zu sperren usw.Eine pauschale Empfehlung von Apps ist nicht möglich da die Auswahl von vielen unterschiedlichen Faktoren abhängt.

Kaderali 25.01.2016 141

Funknetze und Handys

Hier einige nützliche Links:https://www.handy-orten.biz/ https://www.avast.com/de-de/anti-theft https://antitheft.norton.com/ https://www.lookout.com/de/download https://preyproject.com/download http://beste-apps.chip.de/android/app/f-secure-anti-theft-android-app,cxo.54458825/

Kaderali 25.01.2016 142

Sicherheit im Informationsalltag (Inhalt II)

Bluetooth Funknetze und Handys Mobilfunk Satellitennavigationssysteme WLan

Kaderali 25.01.2016 143

Mobilfunknetze (GSM, UMTS)

Mobilfunknetze der ersten Generation waren analog. In 1992 wurden in Deutschland die ersten digitalen Mobilfunksysteme nach dem GSM Standard (Global System for Mobile Communications früher Groupe Spécial Mobile) in Betrieb genommen und die ersten digitalen Handys kamen auf dem Markt. Der Standard wurde stets weiter entwickelt. Heute wird er in gut 200 Ländern eingesetzt und ist der meist verwendete Mobilfunkstandard weltweit*. *http://de.wikipedia.org/wiki/Global_System_for_Mobile_Communications

Kaderali 25.01.2016 144

Mobilfunknetze (GSM, UMTS)

In Deutschland ist seit 2004 Mobilfunk der dritten Generation nach dem UMTS (Universal Mobile Telecommunications Standard) verfügbar. Während in GSM Netzen eine Datenrate von 55 kbit/s bis maximal 220 kbit/s möglich ist, bietet UMTS eine Datenrate von 384 kbit/s bis maximal 42 Mbit/s*. Darüber hinaus bietet UMTS weitere Breitbanddienste und ein etwas höhere Datensicherheit. Beide Netze werden jedoch grundsätzlich als unzureichend sicher eingestuft**.*http://de.wikipedia.org/wiki/Universal_Mobile_Telecommunications_System **https://www.bsi.bund.de/DE/Publikationen/Broschueren/oefms/index_htm.html

Kaderali 25.01.2016 145

Mobilfunknetze (GSM, UMTS)

Da beide Netze (GSM und UMTS) kompatibel sind und die Grundabläufe in beiden Netzen identisch sind, schauen wir uns im Folgenden nur das GSM Verfahren näher an.

Kaderali 25.01.2016 146

Mobilfunknetze (GSM, UMTS)

Jeder Teilnehmer im Netz erhält eine Chipkarte (SIM – Subscreiber Identification Module) die in das Endgerät eingebaut wird mit einer eindeutigen Kennzeichnung (IMSI – International Mobile Subscriber Identity). Hierdurch wird der Teilnehmer gegenüber jedem GSM Mobilfunknetz eindeutig identifiziert. Das Netz erfährt auch, wo der Teilnehmer registriert ist (HLR - Home Location Register) und meldet dort, dass der Teilnehmer sich in seinem Bereich (VLR - Visitor Location Register) befindet. In dem HLR wird ständig Buch geführt, wo der Teilnehmer sich aktuell befindet.

Kaderali 25.01.2016 147

Mobilfunknetze (GSM, UMTS)

Ruft nun jemand den Teilnehmer an, so wird zunächst über eine Signalisier Verbindung zum HLR festgestellt, wo der Teilnehmer sich befindet. Dann wird eine weitere Signalisier Verbindung zum VLR aufgebaut über die dem Anrufer mitgeteilt wird, ob der Teilnehmer verfügbar ist. Erst wenn dies der Fall ist, wird das Gespräch (Nutzkanal) durchgeschaltet.

Kaderali 25.01.2016 148

Mobilfunknetze (GSM, UMTS)

Der Ablauf verdeutlicht, dass viele Daten über den Teilnehmer im Netz verfügbar sind und ein Missbrauch nicht immer ausgeschlossen werden kann. Auf der SIM-Karte befinden sich außerdem weitere Daten wie Telefonbuch, Notizbuch, SMS Speicher, Speicher der zuletzt angerufenen Nummern, Anrufe in Abwesenheit usw. Insbesondere kann der Aufenthaltsort des Teilnehmers und sein Bewegungsprofil erstellt werden, wenn man Zugriff auf die Speicher der Netzbetreiber hat.

Kaderali 25.01.2016 149

Mobilfunknetze (GSM, UMTS)

Da UMTS kompatibel zu GSM ist und teilweise das GSM Netz mitverwendet, ist die erhöhte Sicherheit von UMTS nicht immer gewährleistet.

Kaderali 25.01.2016 150

Mobilfunknetze (GSM, UMTS)

Im Laufe der letzten Jahre wurden zahlreiche Schwach-stellen des GSM Netzes aufgedeckt. Hierzugehören*:

In GSM Netzen wird eine Authentifizierung des Teilnehmers vorgenommen aber nicht des Netzes. Dies ermöglicht eine „Man in the Middle“ Attacke mit dem Einsatz eines IMSI-Catchers. Gespräche können dann abgehört werden. IMSI-Catchers werden in Zusammenhang mit Bekämpfung der Kriminalität und Terrorgefahr eingesetzt und sind frei käuflich.

*http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf

*http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf

Kaderali 25.01.2016 151

Mobilfunknetze (GSM, UMTS)

Schwach-stellen des GSM Netzes (2)*: Es ist möglich den Authentifizierungsschlüssel Ki herauszufinden und eine SIM-Karte zu klonenEs gibt mehrere erfolgreiche Angriffe auf die GSM Krypto Algorithmen A5/1 und A5/2. Die Verschlüsselung der Daten erfolgt nur vom Mobilteil zur Basisstation, Verbindungen über Festnetz, Richtfunkverbindungen und die Vermittlungs-, Übertragungsanlagen erfolgen unverschlüsselt, sofern die verwendeten Systeme keine eigenen Verschlüsselungsalgorithmen verwenden.*http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf

*http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf

Kaderali 25.01.2016 152

Mobilfunknetze (GSM, UMTS)

In UMTS-Netzen wurden einige dieser Lücken beseitigt. So sind die Schlüssel länger und ein „Man in the Middle“ Attacke ist nicht möglich. Auch eine Ende zu Ende Verschlüsselung kann durchgeführt werden. Allerdings gibt es inzwischen Berichte darüber dass die UMTS-Verschlüsselung sowohl durch einen direkten Angriff* als auch über einen Angriff auf das Signalisier System Nr. 7** gebrochen werden kann * http://www.heise.de/security/meldung/Auch-UMTS-Verschluesselung-angeknackst-903458.html ** http://www.computerbild.de/artikel/cb-News-Sicherheit-Bericht-Gravierende-Sicherheitsluecken-im-UMTS-Netz-11233064.html

*http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf

Kaderali 25.01.2016 153

Mobilfunknetze (GSM, UMTS)

Das Fazit insgesamt lautet: Mobilfunknetze sind nicht sicher und man sollte weder vertrauliche Gespräche darüber führen noch vertrauliche Daten darüber austauschen, es sei denn man verschlüsselt Ende zu Ende selbst!

Kaderali 25.01.2016 154

Sicherheit im Informationsalltag (Inhalt II)

Bluetooth Funknetze und Handys Mobilfunk Satellitennavigationssysteme WLan

Kaderali 25.01.2016 155

Navigationssysteme

GPS (Global Positioning System)* wurde von dem US Verteidigungsministerium in den 1970er Jahren entwickelt und ist seit Mitte der 1990er Jahre als Navigationssystem voll funktionsfähig. Seit Mitte des Jahres 2000 wurde es in voller Genauigkeit für zivile Anwendungen freigegeben. Es hat eine Genauigkeit von etwa 10 Metern, die durch spezielle Software auf bis zu einem Meter erhöht werden kann.

* http://de.wikipedia.org/wiki/Global_Positioning_System

Kaderali 25.01.2016 156

Navigationssysteme

Das System basiert auf Satelliten, die ständig Ihre genaue aktuelle Position und die genaue Zeit ausstrahlen. Eine Verbindung mit vier Satelliten ist ausreichend damit der Empfänger seine Position, die Bewegungsrichtung und die Geschwindigkeit ausrechnen kann. Der Empfänger kombiniert diese Daten mit verfügbarem Kartenmaterial und stellt die Position, Geschwindigkeit usw. anschaulich dar.

Kaderali 25.01.2016 157

Navigationssysteme

Damit ein Empfänger immer mindestens zu vier Satelliten Kontakt hat, werden 24 bis 30 Satelliten eingesetzt, die die Erde zwei Mal am Tag in einer Höhe von ca. 20.000 km umkreisen.

Animation GPS: http://de.wikipedia.org/wiki/Datei:ConstellationGPS.gif

Kaderali 25.01.2016 158

Navigationssysteme

Zurzeit wird von der Europäischen Union in Kooperation mit zahlreichen Ländern ein neues, sehr genaues (1 Meter)* Navigationssystem namens Galileo aufgebaut. Insgesamt sind 30 Satelliten vorgesehen. Nach Plan sollten in 2015 bereits 20 Satelliten im Betrieb sein - somit wäre das System voll funktionsfähig. Tatsächlich sind zurzeit (Ende 2015) zwölf Satelliten Verfügbar allerdings zwei davon nicht ganz auf der richtigen Bahn**.

* http://www.dlr.de/next/desktopdefault.aspx/tabid-6804/11164_read-25462/ ** http://www.heise.de/newsticker/meldung/Zwei-neue-Galileo-Satelliten-auf-dem-Weg-ins-All-3046408.html

Kaderali 25.01.2016 159

Navigationssysteme

Animation Galileo:

http://de.wikipedia.org/wiki/Datei:Galileo_sat_constallation.gif

Kaderali 25.01.2016 160

Navigationssysteme

Wie aus der Systembeschreibung hervorgeht, sind die Satelliten passiv, d.h. sie sammeln keine Daten. Die jeweilige Position der Empfänger wird beim Empfänger berechnet und ist den Satelliten nicht bekannt. Erst wenn die Empfänger aktiv sind und ihre errechnete Position, Geschwindigkeit etc. weiter geben (z.B. an eine Leitstelle zur Steuerung von Fahrzeugen) treten Datenschutz Fragen auf. Dies ist bei vielen Standortdiensten der Fall.

Kaderali 25.01.2016 161

Sicherheit im Informationsalltag (Inhalt II)

Bluetooth Funknetze und Handys Mobilfunk Navigationssysteme WLan

Kaderali 25.01.2016 162

WLAN

WLAN (Wireless Local Area Networks)* auch WiFi (Wireless Fidelity) genannt sind drahtlose lokale Funknetze die meist nach einem Protokoll der IEEE-802.11-Familie arbeiten. Sie haben eine größere Sendeleistung (also größere Reichweite) und größere Bandbreite (also höhere Datenübertragungsrate) als WPAN (Wireless Personal Area Network wie Bluetooth) und können durchaus eine größere Anzahl von Geräten verbinden. Üblicherweise arbeiten sie im GHz-Bereich und haben eine Übertragungsrate von einigen Mbit/s bis zu einigen Gbit/s. * http://de.wikipedia.org/wiki/Wireless_Local_Area_Network

Kaderali 25.01.2016 163

WLAN

WLANS werden auch als Zugang zum privaten oder öffentlichen Datennetzen (Accesspoint, Hotspot) verwendet. Internetanbieter stellen häufig ein WLAN als Zugang zu ihrem Netz zur Verfügung. Zahlreiche Geräte (Smartphones, Handys, Tabletts, Notebooks aber auch Drucker und Scanner) haben eingebaute WLAN Karten und können sich an der Kommunikation über diese Funknetze beteiligen. Da die Sicherheit von WLANS nicht sehr ausgeprägt ist, wird dringend empfohlen sowohl eine Authentifizierung als auch eine Verschlüsselung durchzuführen.

Kaderali 25.01.2016 164

WLAN

Im Folgenden fassen wir zu einem Sicherheitshinweise zum Betrieb von einem eigenen privaten WLAN und zum andern Hinweise zum Verhalten in fremden WLANS zusammen*:Ändern Sie das vom Hersteller eingestellte Name des WLANS und die voreingestellten Passwörter. Benutzen Sie einen Namen, der keinen Hinweis über Sie gibt. Löschen Sie das Login Banner (da hierdurch das Gerätemodell und Details des Gerätes bekannt gegeben werden).* https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheitstipps/sicherheitstipps_node.html

Kaderali 25.01.2016 165

WLAN

Sicherheitshinweise für WLANS* (2) :Gehen Sie vom Netz, wenn Sie den WLAN konfigurieren. Verwenden Sie den sicheren Modus https zum Konfigurieren.Sie können ihr WLAN (SSID) verstecken. Es gibt allerdings Tools auch versteckte WLANS sichtbar zu machen!Aktualisieren Sie die Gerätesoftware (automatische Aktualisierung empfohlen).* https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheitstipps/sicherheitstipps_node.html

Kaderali 25.01.2016 166

WLAN

Sicherheitshinweise für WLANS* (3) :Sie können den MAC Filter einrichten. Dann werden nur eingetragene Geräte zugelassen.Deaktivieren Sie nicht benötigte Funktionen z.B. Fernzugang für Einstellungen.Verwenden Sie eine gute Verschlüsselung z.B. WPA2. WEP und WPA ist nicht ausreichend! PIN mindestens 20 Zeichen!* https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheitstipps/sicherheitstipps_node.html

Kaderali 25.01.2016 167

WLAN

Sicherheitshinweise für WLANS* (4) :Deaktivieren Sie das WPS PIN Verfahren. Es ist unsicher!Öffentliche Hotspots verwenden meist keine Verschlüsselung – die Luftschnittstelle ist dann ab hörbar. Dies gilt häufig auch für viele fremde WLANS (z.B. in Hotels). Deshalb keine vertrauliche Informationen über fremde WLANS versenden. Wenn doch, dann eigene Verschlüsselung verwenden (z.B. SSL, Https oder VPN).* https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheitstipps/sicherheitstipps_node.html

Kaderali 25.01.2016 168

WLAN

Sicherheitshinweise für WLANS* (5) :Datei- und Verzeichnisfreigabe deaktivieren damit diese von Dritten nicht eingesehen werden können.Deaktivieren Sie die automatische Anmeldung an bekannten Hotspots. Diese können verfälscht sein (d.h. einen falschen Namen tragen!).

* https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheitstipps/sicherheitstipps_node.html

Kaderali 25.01.2016 169

Sicherheit im Informationsalltag

Vielen Dank

für Ihre Aufmerksamkeit!

Fragen?