Harald Baier Datensicherheit – h_da – SS 10 2
Inhalt
● Ein paar Vorbemerkungen
● Grundbegriffe
● Sicherheitsziele
● Thesen zur IT-Sicherheit
Harald Baier Datensicherheit – h_da – SS 10 3
Inhalt
● Ein paar Vorbemerkungen
● Grundbegriffe
● Sicherheitsziele
● Thesen zur IT-Sicherheit
Harald Baier Datensicherheit – h_da – SS 10 4
Wozu schlechte Datensicherheit führen kann (1)
Quelle:c't 17/08
Harald Baier Datensicherheit – h_da – SS 10 5
Wozu schlechte Datensicherheit führen kann (2)
Quelle:c't 21/07
Harald Baier Datensicherheit – h_da – SS 10 6
Wozu schlechte Datensicherheit führen kann (3)
Quelle:c't 08/07
Harald Baier Datensicherheit – h_da – SS 10 7
Wozu schlechte Datensicherheit führen kann (4)
Quelle:c't 06/09
Harald Baier Datensicherheit – h_da – SS 10 9
Datenpannen / Datenklau (1/4)
● Steuersünder-CDs aus der Schweiz (Februar 2010)Quelle: http://www.spiegel.de/wirtschaft/soziales/0,1518,675977,00.htmlhttp://www.sueddeutsche.de/finanzen/742/501982/text/
Ehemaliger Bank-Mitarbeiter bietet Daten über Kunden an, die vermutlich in Deutschland die Einkünfte nicht versteuern
Kosten: 2.5 Mio. EUR für 'Schweizer' CD
Ähnliches Szenario wie 2008 bei Liechtenstein-CD
● Skimming in Darmstadt (März 2010)Quelle: http://www.echo-online.de/suedhessen/darmstadt/Zwei-neue-Faelle-von-Skimming;art1231,762067http://www.echo-online.de/suedhessen/darmstadt-dieburg/griesheim/Duo-spaeht-EC-Karten-am-Geldautomaten-aus;art1287,777525
Skimming-Versuche am Luisenplatz
Verhandlung über Skimming in Alsbach-Hähnlein bzw. Bickenbach
Harald Baier Datensicherheit – h_da – SS 10 10
Datenpannen / Datenklau (2/4)
● 1 Mio. Datensätze von Mitgliedern von SchülerVZ anonym an Website netzpolitik.org verschickt (Oktober 2009)Quelle: http://www.heise.de/security/meldung/Ueber-1-Million-Datensaetze-bei-SchuelerVZ-abgesaugt-832232.html
Betroffene Daten: 'Community-interne Informationen' wie Profil-ID, Name, Schule, teilweise auch Alter u. Link auf Bild
Potenzielles Problem: Daten über Kinder u. Jugendliche
● 27.000 Datensätze von AWD-Kunden anonym an NDR übergeben (Oktober 2009)Quelle: http://www.heise.de/newsticker/meldung/Datenpanne-beim-Finanzdienstleister-AWD-831068.html
Betroffene Daten: Name, Anschrift, Geburtstag, Verträge inkl. Laufzeit u. Volumen (Stand: 1990er bis 2001)
Lt. AWD 'keine sensiblen Daten im Sinne des Datenschutzes'
Harald Baier Datensicherheit – h_da – SS 10 11
Datenpannen / Datenklau (3/4)
● Kreditkartendaten von Kunden der LB Berlin werden zur Vertuschung eines Keksdiebstahls von Kurierfahrern an die Frankfurter Rundschau versendet (Dezember 2008)Quelle: http://www.heise.de/newsticker/LBB-Datenskandal-ist-vertuschter-Stollen-Diebstahl--/meldung/120770
● Freier Zugriff auf Meldedaten von ca. 200 Städten im Zeitraum März-Juni 2008, da betroffene Meldebehörden Standardzugangsdaten nicht ändertenQuelle: http://www.heise.de/newsticker/Fernsehmagazin-Datenpanne-bei-Einwohnermeldeaemtern-Update--/meldung/109835
● Ende 2004: Versehentliches Löschen von Daten (z.B. über Auslandseinsätze) der Bundeswehr für 1999-2003; Panne wurde im Juni 2007 bekanntQuelle: http://www.heise.de/newsticker/Datenpanne-bei-der-Bundeswehr--/meldung/91700
Harald Baier Datensicherheit – h_da – SS 10 12
Datenpannen / Datenklau (4/4)
● Chinesen installieren Trojaner auf deutschen Regierungscomputern (August 2007)? Trojaner kommen via Office-Attachment ins BK, BMBF, BMWi und AAQuelle: http://www.heise.de/newsticker/Deutsche-Regierung-im-Visier-eines-chinesischen-Trojaners--/meldung/94932
● Ghostnet: Spionage-Netzwerk (u.a. auf Rechnern der tibetischen Exilregierung) (April 2010 + März 2009)Quelle: http://www.heise.de/newsticker/Chinesische-Spionage-Software-infiltriert-Rechner-tibetischer-Exil-Regierung-Update--/meldung/135387http://www.heise.de/security/meldung/Ghostnet-2-0-Spionagenetz-nutzt-Dienste-in-der-Cloud-970678.html
Harald Baier Datensicherheit – h_da – SS 10 13
Inhalt
● Ein paar Vorbemerkungen
● Grundbegriffe
● Sicherheitsziele
● Thesen zur IT-Sicherheit
Harald Baier Datensicherheit – h_da – SS 10 14
Definitionen von 'Sicherheit'
● Sicherheit (zitiert aus Meyers großem Taschenlexikon Band 20 nach [Steinmetz], S. 2):
Zustand des Unbedrohtseins, der sich objektiv im Vorhandensein von Schutz[einrichtungen] bzw. im Fehlen von Gefahr[enquellen] darstellt und subjektiv als Gewissheit von Individuen oder sozialen Gebilden über die Zuverlässigkeit von Sicherungs- und Schutzeinrichtungen empfunden wird.
● Sicherheit (zitiert nach Wikipedia, Zugriff am 07.04.2010):
Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen wird.
Harald Baier Datensicherheit – h_da – SS 10 15
Definitionen von 'Information'
● Information nach Wikipedia (Zugriff in 2006): Information (v. lat.: informare = bilden, eine Form geben) ist ein potenziell oder tatsächlich vorhandenes nutzbares oder genutztes Muster von Materie und/oder Energieformen, das für einen Betrachter innerhalb eines bestimmten Kontextes relevant ist. Wesentlich für die Information ist die Wiedererkennbarkeit sowie der Neuigkeitsgehalt.
● Information nach Wikipedia (Zugriff am 05.04.2010): Ihr Kennzeichen: Information vermittelt einen Unterschied. Die Information verliert, sobald sie informiert hat, ihre Qualität als Information: „News is what's different.”
● Information nach Internet Security Glossary (RFC 2828):Facts and ideas, which can be represented (encoded) as various forms of data
Harald Baier Datensicherheit – h_da – SS 10 16
Informationssicherheit vs. IT-Sicherheit (lt. BSI)
● Informationssicherheit:
Ziel: Schutz von Informationen
Unabhängig von Repräsentation: Papier, Kopf, IT-System
● IT-Sicherheit:
Ziel: Schutz elektronischer Informationen
Speicherung, Verarbeitung, Übertragung
● IT-Sicherheit ist echte Teilmenge der Informationssicherheit
Harald Baier Datensicherheit – h_da – SS 10 17
Security vs. Safety
● Security: Informationssicherheit
Keine unautorisierte Informationsveränderung oder Informationsgewinnung möglich
Abwehr von Angriffen (Analyse von Bedrohungen, Realisierung von Schutzmaßnahmen)
● Safety: Funktionssicherheit
Ist-Zustand des IT-Systems entspricht Soll-Zustand
IT-System funktioniert wie vorgegeben unter allen normalen Betriebsbedingungen
Teilaspekt der Zuverlässigkeit (Dependability)
Harald Baier Datensicherheit – h_da – SS 10 18
IT-System
● IT-System ([Eckert], S. 2):Ein IT-System ist ein geschlossenes oder offenes, dynamisches technisches System mit der Fähigkeit zur Speicherung und Verarbeitung von Informationen.
Geschlossenes IT-System: Baut auf Technologie eines Herstellers auf Inkompatibel zu Produkten anderer Hersteller Beschränkt auf bestimmten Personenkreis u. Gebiet
Offenes IT-System: Vernetzte, physisch verteilte Systeme Kompatibel zu Standards Offen für Kommunikation mit anderen Systemen
Heterogenes IT-System: Mischform
Harald Baier Datensicherheit – h_da – SS 10 19
Schnittstellen, Nutzer, Autorisation
● Schnittstellen:
Erlauben Austausch von Informationen mit anderen IT-Systemen oder der Umwelt (typischerweise Subjekte)
Beispiele: Hardware- u. Softwareschnittstellen
● Nutzer:
(Menschliche) Benutzer eines IT-Systems
Prozesse, die für Benutzer System nutzen
Greifen auf Informationen zu: Zugriffsrechte
● Autorisation:
Berechtigung, eine Information zu lesen oder zu verändern
Harald Baier Datensicherheit – h_da – SS 10 20
Datensicherung und Datenschutz
● Datensicherung: Schutz vor Datenverlust
Backup: Sicherungskopie der Daten
Recovery: Wiederherstellung verlorener oder verschlüsselter Daten
● Datenschutz:
Prinzip: Natürliche Person kontrolliert die sie betreffenden Daten
Informationelle Selbstbestimmung hat Rang eines Grundrechts (Volkszählungsurteil des BVerfG von 1983)
Weiterführung: Bundesdatenschutzgesetz (BDSG) von 1990
Aktuell: IT-Grundrecht
Harald Baier Datensicherheit – h_da – SS 10 21
Angriff
● Nicht autorisierter Zugriff bzw. Zugriffsversuch
● Angriffsarten:
Passiver Angriff: Unautorisierte Informationsgewinnung Gängiges Beispiel: Sniffing
Aktiver Angriff: Unautorisierte Informationsveränderung Gängige Beispiele:
Veränderung von Datenpaketen im Internet Malware-Verbreitung Phishing Spoofing (Distributed) Denial of Service
Harald Baier Datensicherheit – h_da – SS 10 22
Bedrohung und Risiko
● Bedrohung:
Potenzielle Gefährdung von Schutzzielen durch Ausnutzung von Schwachstellen
Bedrohungsarten durch: Passive Angriffe Aktive Angriffe Versehen: Bedienfehler, Fehler in Soft- oder Hardware, ...
● Risiko einer Bedrohung:
Eintrittswahrscheinlichkeit der Bedrohung * Schadenshöhe
Risiko hilft bei Priorisierung der Abwehr verschiedener Bedrohungen
Schwer zu quantifizieren
Harald Baier Datensicherheit – h_da – SS 10 23
Angreifertypen (1/2)
● Wichtiges Charakteristikum für Schutzmaßnahmen:Stärke des Angreifers
● Innen- vs. Außentäter
● Innentäter: Person mit weiterführenden Kenntnissen über IT-Struktur führt Angriff durch
(Ehemalige) Mitarbeiter
Lieferant
(IT-)Dienstleister
Harald Baier Datensicherheit – h_da – SS 10 24
Angreifertypen (2/2)
● Hacker: Versierter Angreifer zur Aufdeckung von Schwachstellen ohne finanzielles Eigeninteresse
● Cracker: Versierter Angreifer zur Aufdeckung von Schwachstellen mit finanziellem Eigeninteresse
● Skript-Kiddie: Unversierter Angreifer, der Exploits Dritter verwendet
● Sonstige:
Geheimdienste
Strafverfolgung
Industriespionage durch Konkurrenten
Harald Baier Datensicherheit – h_da – SS 10 25
Computerforensik = IT-Forensik
● IT-Forensik:
Ziel: Nachweis von (strafbaren) Angriffen auf IT-Systeme
Vorgehen auf Basis von Best Practices
Oft: Gerichtsverwertbare Aufarbeitung eines Angriffs
Beweisführung auf Read-Only-Kopien: Originalsystem bleibt unverändert !!!
Teildisziplinen: Live Response, Post-Mortem-Analyse, Netzwerkforensik, Anwendungsforensik, mobile Kleingeräte
● Richtige Verhaltensweise eines Opfers bei IT-Angriff?
● Problem der Datenüberlastung
Harald Baier Datensicherheit – h_da – SS 10 26
Inhalt
● Ein paar Vorbemerkungen
● Grundbegriffe
● Sicherheitsziele
● Thesen zur IT-Sicherheit
Harald Baier Datensicherheit – h_da – SS 10 27
Beispiel: Umbau eines öffentl. Gebäudes
Quelle:wikimedia.org
Harald Baier Datensicherheit – h_da – SS 10 28
Hessisches Staatsbauamt
Umbau eines öffentl. Gebäudes: Echtheit
Ausschreibung
Einsendeschluss:20.12.2006
Angebote
Bestätigung
authentisch
authentisch
authentisch
Harald Baier Datensicherheit – h_da – SS 10 29
Hessisches Staatsbauamt
Umbau eines öffentl. Gebäudes: Integrität
Ausschreibung
Einsendeschluss:20.12.2006
Angebote
Bestätigung
unverändert
unverändert
unverändert
Harald Baier Datensicherheit – h_da – SS 10 30
Hessisches Staatsbauamt
Umbau eines öffentl. Gebäudes: Verbindlichkeit
Ausschreibung
Einsendeschluss:20.12.2006
Angebote
Bestätigung
verbindlich
verbindlich
verbindlich
Harald Baier Datensicherheit – h_da – SS 10 31
Hessisches Staatsbauamt
Umbau eines öffentl. Gebäudes: Vertraulichkeit
Ausschreibung
Einsendeschluss:20.12.2006
Angebote
Bestätigung
vertraulich
Harald Baier Datensicherheit – h_da – SS 10 32
Hessisches Staatsbauamt
Umbau eines öffentl. Gebäudes: Datiertheit
Ausschreibung
Einsendeschluss:20.12.2006
Angebote
Bestätigung
datiert
datiert
Harald Baier Datensicherheit – h_da – SS 10 33
Schutz- / Sicherheitsziele (1/4)
● Authentizität / Echtheit:
Der Urheber der Information ist bekannt.
Beispiel: Absender einer E-Mail zuverlässig feststellen.
● Unverändertheit / Integrität:
Die Information wurde nicht geändert.
Beispiel: Inhalt einer E-Mail wurde nicht verändert.
● Vertraulichkeit:
Die Information ist nur für Berechtigte lesbar.
Beispiel: Inhalt einer E-Mail ist nur für Empfänger lesbar.
Harald Baier Datensicherheit – h_da – SS 10 34
Schutz- / Sicherheitsziele (2/4)
● Verbindlichkeit / Nicht-Abstreitbarkeit:
Urheber und Inhalt ist gegenüber Dritten nachweisbar.
Beispiel: Elektronische Abgabe eines Angebots.
● Datiertheit:
Es ist nachweisbar, dass eine Information zu einem bestimmten Zeitpunkt existiert hat.
Gehört nicht zu den vier klassischen Sicherheitszielen der Kryptographie.
Beispiel: Angebot wurde fristgerecht eingereicht.
Harald Baier Datensicherheit – h_da – SS 10 35
Schutz- / Sicherheitsziele (3/4)
● Verfügbarkeit:
Eine Information ist verfügbar, wenn sie von einem Berechtigten benötigt wird.
Beispiel: Kunde - Online-Banking-Server
Harald Baier Datensicherheit – h_da – SS 10 36
Zum Sicherheitsziel Verfügbarkeit ...
Quelle:c't 15/07
Harald Baier Datensicherheit – h_da – SS 10 37
Schutz- / Sicherheitsziele (4/4)
● Anonymität:
Die Identität eines Kommunikationspartners ist nicht oder nur mit unverhältnismäßig hohem Aufwand herauszufinden.
Beispiel: Bezahlen (Laden, Internet)
● Pseudonymität:
Identitäten werden durch eine Zuordnungsvorschrift verändert.
Identität ist nur bei Kenntnis der Zuordnungsvorschrift bekannt.
Beispiel: Einkauf bei Ebay, Chat
Harald Baier Datensicherheit – h_da – SS 10 38
Sicherheitsziele vs. Kryptographische Technik
Sicherheitsziel Kryptographische Technik
Authentizität Elektronische Signatur / MAC
Integrität Elektronische Signatur / MAC
Verbindlichkeit Elektronische Signatur
Vertraulichkeit Verschlüsselung
Zeitpunkt beweisen Elektronische Signatur u.Normalzeit
Anonymität / Pseudon. Verschlüsselung
Harald Baier Datensicherheit – h_da – SS 10 39
Aspekte zur Erreichung der Sicherheitsziele
● Sicherheitsstrategie (Security Policy): Definiert
Technische u. organisatorische Regeln
Verhaltensregeln
Verantwortlichkeiten u. Rollen
● Inhalte einer Sicherheitsstrategie:
Netzwerksicherheit
Hardware- u. Softwaresicherheit
Organisatorische Maßnahmen
Notfallplan (Emergency Response)
Harald Baier Datensicherheit – h_da – SS 10 40
Inhalt
● Ein paar Vorbemerkungen
● Grundbegriffe
● Sicherheitsziele
● Thesen zur IT-Sicherheit
Harald Baier Datensicherheit – h_da – SS 10 41
Thesen von Bruce Schneier
● Wer ist Bruce Schneier?
Krypto-Papst
Gründer und CTO von Counterpane
Erfinder von Blowfish und Twofish
Autor zahlreicher Bücher, Artikel, NewsletterQuelle:www.computerworld.com
● Zitate von Bruce Schneier über IT-Sicherheit:
The only secure computer is one that’s turned off, locked in a safe, and buried 20 feet down in a secret location – and I’m not completely confident of that one either.
Complexity is the worst enemy of security.
Security is a trade off.
Security is a process, not a product.
Harald Baier Datensicherheit – h_da – SS 10 42
Thesen von Marcus Ranum
● The Six Dumbest Ideas in Computer Security(www.ranum.com)
● Wer ist Marcus Ranum?
Weltweit anerkannter Experte für Computer-Sicherheit
Berater von weltweit führenden Unternehmen
Erfinder der Proxy-Firewall
Programmierer der ersten kommerziellen Firewall
Quelle: www.ranum.com
Harald Baier Datensicherheit – h_da – SS 10 43
The Six Dumbest Ideas in Computer Security: 1
● Default Permit: Erlaube alles, entscheide über Ausnahmen im Einzelfall
Beispiel Firewall der 1990er: Schalte per Default alle Ports frei Blockiere die eingehenden Dienste telnet, rlogin, ftp Blockiere weitere Ports nach bekannten Sicherheitslöchern
Beispiel Software: Erlaube jedem Programm / jeder Datei Zugriff auf das
Gesamtsystem Beispiele: Windows 95, Windows 98 haben keine
unterschiedlichen Benutzer Beispiel Windows XP: Oft verwendet der Standardnutzer den
Account 'Administrator'
● Gegenmaßnahme: Deny all, permit some
Harald Baier Datensicherheit – h_da – SS 10 44
The Six Dumbest Ideas in Computer Security: 2
● Enumerating Badness: Liste alle Sicherheitslöcher auf und stopfe sie
Problem: Anzahl an bösartigen Programmen übersteigt Anzahl an gutartigen Programmen: Badness Gap
Für eine Applikation mehrere Exploits, Würmer, Viren, Spyware, Trojaner
Anzahl an bösartigen Applikationen steigt rasant Paradigma von Virenscannern, IDS / IPS, Firewalls
● Gegenmaßnahme: Enumerating Goodness
Lasse nur die gutartigen Programme laufen
Bösartige Programme werden nicht ausgeführt
Harald Baier Datensicherheit – h_da – SS 10 45
The Six Dumbest Ideas in Computer Security: 3
● Penetrate and Patch: Teste Dein System und stopfe gefundene Sicherheitslöcher
Vorgehen: Penetriere eigene Schutzsysteme
(Firewall / Virenscanner / ...) Finde Sicherheitslöcher Stopfe diese Ansatz: Trial and Error
Aber: Kein Besseres Design des Systems
10 GOSUB LOOK_FOR_HOLES20 IF HOLE_FOUND = FALSE THEN GOTO 5030 GOSUB FIX_HOLE40 GOTO 1050 GOSUB CONGRATULATE_SELF60 GOSUB GET_HACKED_EVENTUALLY_ANYWAY70 GOTO 10
● Gegenmaßnahme: Sicheres Design
Besserer Security-Engineering-Prozess
Harald Baier Datensicherheit – h_da – SS 10 46
The Six Dumbest Ideas in Computer Security: 4
● Hacking is Cool: Know Your Enemy
Vorgehen: Kenntnis von Hackervorgehen und Hackertools hilft beim
Schutz der eigenen Systeme Ähnlich wie Penetrate and Patch
Aber: Kein Besseres Design des Systems
● Gegenmaßnahme: Sicheres Design
Besserer Security-Engineering-Prozess
Good Engineering is Cool
Harald Baier Datensicherheit – h_da – SS 10 47
The Six Dumbest Ideas in Computer Security: 5
● Educating Users: Patch your Users
These: User Education ist sinnlos!! Wenn es funktionieren würde, hätte es bereits funktioniert. Beispiel: Kournikova-Wurm, Phishing Wird sich selbst regulieren: Nur mündige User werden am
Arbeitsmarkt der Zukunft einen Platz haben. Spezialfall von Default Permit: Nur wenn User zu viele Rechte
haben, müssen sie erzogen werden.
Harald Baier Datensicherheit – h_da – SS 10 48
The Six Dumbest Ideas in Computer Security: 6
● Action is Better Than Inaction: Tue das, was alle tun.
2 Arten von IT-Verantwortlichen: Early adopters: Führen jede neue Technologie sofort ein. Pause and thinkers: Warten ab, welche Erfahrungen die Early
adopters mit neuen Technologien machen. Manager haben Angst, sich für verschlafene Trends
rechtfertigen zu müssen: WLAN, Security Outsourcing, VoIP,...
Andere Formulierung: It is often easier to not do something dumb than it is to do something smart.
● Gegenmaßnahme:
Abwarten und Tee trinken
Be a pause and thinker