Vorlesung 1

Ein IT-System ist ein geschlossenes oder offenes, dynamisches technisches System mit der

Fähigkeit zur Speicherung und Verarbeitung von Daten.

„geschlossen“: baut auf der Technologie eines Herstellers auf, ist zu Konkurrenzprodukten nicht

kompatibel und ist im Teilnehmerkreis auf ein räumliches Gebiet beschränkt. (i.d.R. homogen und

zentral verwaltet)

 „offen“: ist vernetzt, physisch verteilt und orientiert sich an Standards zum Informationsaustausch.

(i.d.R. mit heterogener HW und OS, für die keine zentrale Administration existiert)

D.h. sie sind eingebettet in gesellschaftliche, unternehmerische und politische Strukturen und

werden von Personen mit unterschiedlichen Wissen und Zwecken genutzt.

Werden von IT-Systemen gespeichert und verarbeitet.

 Sind ein Abstraktum, das in Form von Daten(-objekten) gespeichert wird.

 Passive Objekte: können Informationen speichern (z.B. Datei, DB-Inhalte)

 Aktive Objekte: Können Informationen speichern und verarbeiten (z.B. Prozesse)

 Informationen sind schützenswerte Güter, sog. Assets

Als Subjekt werden alle IT-System-Benutzer (und alle aktiven Objekte im Auftrage von Benutzern) bezeichnet.

 Eine Interaktion zwischen einem Datenobjekt und einem Subjekt heißt Zugriff.

 Für den Zugriff auf zu schützende Informationen sind stets Zugriffsrechte für Objekte+Subjekte

festzulegen.

 „Autorisierung“: Ein Subjekt mit Zugriffsberechtigungen ist autorisiert

Informationskanäle sind die Zugriffswege, über die Informationen fließen können.

 Legitimer Kanal: von den autorisierten Subjekten zu verwendender Kanal

 Verdeckter Kanal (covert channel): Kanal, der nicht für einen Informationstransfer vorgesehen ist,

aber dazu missbraucht werden kann.

Funktionssicherheit (safety)

Die vom IT-System realisierte Ist-Funktionalität stimmt mit der spezifizierten Soll-Funktionalität voll

überein. Es lässt auch keine sonstigen Zustände zu.

 Informationssicherheit (security)

Das funktionssichere IT-System lässt keine Zustände auftreten, die zu einer unautorisierten

Informationsgewinnung oder –änderung führen.

 Datensicherheit (protection)

Das funktionssichere IT-System lässt keine Zustände auftreten, die zu einem unautorisierten

Zugriff auf oder Verlust von Systemressourcen und Daten führen.

 Datenschutz (privacy)

Das System ermöglicht jeder natürlichen Person als Benutzer, die sie betreffenden persönlichen

Informationen voll zu kontrollieren (Speicherung und Weitergabe)

Ein System ist dann verlässlich, wenn es funktionssicher ist und die Funktionen zuverlässig (reliable) erbringt.

Beschäftigung mit „Sicherheit“ im technischen Sinne der Security und Protection

Informationen, also Daten(-objekte) gilt es in sicheren IT-Systemen zu schützen hinsichtlich Integrität und Vertraulichkeit.

 Ein Zugriff (r/w) darf nur durch berechtigte Subjekte erfolgen, deren

Identität eindeutig ist und verifiziert wurde (sog. Authentizität des Subjekts).

 Auch gilt es, die Herkunft und Originalität von Informationen (Daten und Programme!)

sicherzustellen. Auch hier spricht man von Authentizität.

 Das IT-System muss sicherstellen, dass authentifizierte und berechtigte Subjekte Zugriff bzw.

Aktionen ausführen können, man spricht von Verfügbarkeit.

 Im Nachhinein muss der Zugriff sowie die Autorenschaft unabstreitbar (siehe Authentizität)

zuordenbar sein. Man nennt dies Verbindlichkeit des Zugriffs.

Die Authentizität (authentication) ist eine Eigenschaft von Objekten und Subjekten. Sie bestimmt die Echtheit und Glaubwürdigkeit, die anhand einer eindeutigen Identität und charakteristischen Eigenschaften überprüfbar ist.

Beispiele? Technologien?

Ein System (und auch Kanal) gewährleistet die Datenintegrität (integrity), wenn kein Subjekt die Daten unautorisiert oder unbemerkt manipulieren kann.

Ein System gewährleistet die Informationsvertraulichkeit (confidentiality), wenn es keine unautorisierte Informationsgewinnung ermöglicht

Ein System gewährleistet die Verfügbarkeit (availability), wenn autorisierte Subjekte beim berechtigten Zugriff nicht unautorisiert beeinträchtigt werden können.

Ein System gewährleistet die Verbindlichkeit bzw. Zuordenbarkeit (non repudiation), wenn ein Subjekt im Nachhinein die Durchführung eines Zugriffs bzw. einer Aktion nicht abstreiten kann.

Wo ist dies von besonderer Bedeutung?

Bei der Anonymisierung werden personenbezogenen Daten derart verändert, dass die eindeutige Zuordnung von Informationen zu Subjekten in keinem verhältnismäßigen Aufwand mehr möglich ist (Kosten und Zeit). Die Pseudomisierung ist eine schwächere

Form, bei der die Zuordnung über eine Zuordnungsvorschrift autorisierten Subjekten möglich ist.

 Kryptographie

Kann Vertraulichkeit, Integrität, Verbindlichkeit von Nachrichten sowie die Nachrichten-

und Teilnehmerauthentizität sicherstellen.

 Separierung

Schutz durch organisatorische und physische Trennung (nicht Erreichbarkeit von

Informationen). Dieser kann analog zur Kryptographie wirken.

 Verfügbarkeit

Muss durch organisatorische, softwaretechnische und physikalische Maßnahmen

sichergestellt werden wie: Redundanz, Skalierung, Schulungen und Aktualität, weitere

 Eine Schwachstelle ist ein Punkt in einem System, an

dem es verwundbar werden kann.

 Es ist verwundbar, wenn die Sicherheitsdienste des

Systems an dieser Stelle umgangen, getäuscht oder

unautorisiert modifiziert werden können.

Der Schutzbedarf eines IT-Systems wird durch die systematische Ermittlung von Schwachstellen und Verwundbarkeiten bestimmt. Dabei werden Gefährdungsfaktoren aus verschiedenen Bereichen betrachtet, z. B.:

• Höhere Gewalt: Blitzschlag, Feuer, Überschwemmung, Erdbeben

• Menschliches Fehlverhalten: Fahrlässigkeit, Irrtum, Fehlbedienung, unsachgemäße Behandlung

• Technisches Versagen: Stromausfall, Hardwareausfall, Fehlfunktionen

• Vorsätzliche Handlungen: Manipulation, Einbruch, Hacking, Vandalismus, Spionage, Sabotage

• Organisatorische Mängel: Unberechtigter Zugriff, Raubkopien, ungeschultes Personal

Eine Bedrohung des Systems zielt auf das Ausnutzen einer Schwachstelle oder Verwundbarkeit ab.

Ziel ist der Verlust der Datenintegrität, der Informationsvertraulichkeit oder der Verfügbarkeit zu erreichen oder um die Authentizität von Subjekten zu gefährden.

 Zur Bestimmung der tatsächlichen Gefährdungslage muss zunächst das Risiko der potentiellen

Bedrohungen bestimmt werden.

 Hierzu geht man in der Analyse von den zu schützenden Gütern (assets) aus.

 Risiko asset = Eintrittswahrscheinlichkeit Bedrohung • Schadenpotential Bedrohung

Unter einem Risiko einer Bedrohung wird deren Eintrittswahrscheinlichkeit (oder rel. Häufigkeit) unter

Betrachtung des dadurch potentiell hervorrufbaren Schadens verstanden.

strukturierte Betrachtung möglicher Bedrohungen eines IT-Systems ausgehend von dessen Assets. Ergebnis: Modell von Bedrohungen, denen das System widerstehen muss

Methodische Überprüfung eines Systementwurfs oder einer Architektur zur Aufdeckung und Korrektur von Sicherheitsproblemen auf der Entwurfsebene

Spoofing identitiy, Tampering with data, Repudiation, Information disclosure, Denial of Service, Elevation of privilege

Vorgehen bei der Sicherheitsanalyse:

1. Zerlegung des Systems in relevante Komponenten (Assets)

2. Analyse, ob die Komponente gegenüber bestimmten Bedrohungen angemessen geschützt ist

3. Falls nicht akzeptabel, erfolgt das Härten der Komponente, dann Rückkehr zu Schritt 2

Zuordnung von Bedrohungen zu Sicherheitseigenschaften:

• Spoofing (Täuschung) → Authentifizierung

• Tampering (Datenmanipulation) → Integrität

• Repudiation (Nichtanerkennung) → Nichtabstreitbarkeit

• Information Disclosure (Datenoffenlegung) → Vertraulichkeit

• Denial of Service (Dienstverweigerung) → Verfügbarkeit

• Elevation of Privilege (Rechteausweitung) → Autorisierung

1. Erstellung eines klassischen Datenflussdiagramms mit:

Datenspeicher, Datenfluss, Prozess, Mehrfachprozess, Interaktoren und Vertrauensgrenzen.

2. Prüfung der einzelnen Elemente auf die 6 Bedrohungen.

• Spoofing (Täuschung)

• Tampering (Datenmanipulation)

• Repudiation (Nichtanerkennung)

• Information Disclosure (Datenoffenlegung)

• Denial of Service (Dienstverweigerung)

• Elevation of Privilege (Rechteausweitung)

-Idealfall: Einsatz einer starken, allseits verstandenen Lösung

Hierzu: STRIDE bringt eine Liste von Lösungen zu jeder Bedrohung mit!

-Bewertung der Lösung: Risiko akzeptabel? stärkere Lösung? wirtschaftlich abbildbar?

-Voraussetzung: man muss mit den Angriffstypen vertraut sein, welche die eigenen / eingesetzten

Technologien betreffen

-Hauptziel des Thread Modeling: verstehen, ob ein Angriff möglich ist, an den nicht gedacht wurde.

Ein Angriff ist ein nicht autorisierter Zugriff/-sversuch auf ein IT-System.

 Passiver Angriff: Ziel ist die unautorisierte Informationsgewinnung. (Verlust der Vertraulichkeit)

Bsp.: eavesdropping (Leitung abh.), sniffing (PWD ausspähen)

 Aktiver Angriff: Ziel ist die unautorisierte Modifikation von Datenobjekten.

(Verlust der Datenintegrität oder Verfügbarkeit)

Bsp.: replay (Wiedereinspielen), spoofing (Maskierung), DoS/ resource clogging

1.Kryptographie: Verschlüsseln und Signieren

2. Minimale Rechte: Principle of Least Privileges (POLP)

3. Monitoring: aktuelle Zugriffe loggen, Sequenznummern nutzen und verwendete invalidieren!

4. Schulung und Qualität: Anwender/Adminverhalten, fehlerhafte Programmierung

Beispiel für einen aktiven Angriff: Rootkit; Typische Vorgehensweise:

1. Schwachstellanalyse

• Eine (i.a. öffentliche) Datenbank* mit Exploits konsultieren

• Ggf. vorher: mittels Scans verfügbare Rechner und Ports ermitteln Rechner profilieren

2. Zugang

• Rechner und Datenbankinformationen abgleichen  angreifbare Dienste

• alternativ: Schwachstellen in Systemkonfiguration testen (Standard-PWD, Exploits, etc.)

3. Infizieren

• Schwachstelle ausnutzen und Schadcode („Payload“) aufbringen

4. Verschleiern

• Logs und Programme (ps, ls etc.) manipulieren

5. Rootkit-Installieren

• Nachladen von manipulierten Systemdiensten + Schadcode ausführen

1. Software Inventarliste

• Erstellung und ständige Aktualisierung aller im Unternehmen eingesetzter SW

• Bspw. mit nicht-/kommerziellen Tools (FusionInventory, andere), teils automatisiert

2. Abgleich mit der Datenbank aller CVEs

• Online oder offline (bspw. per cve-search/openSource) alle CVEs

• Abgleich mit der Inventarliste (Vorsicht: SW + Versionen nicht immer eindeutig, CPE Directory)

3. Identifizieren aller Verwundbarkeiten

• Mit erweiterter CVE Datenbank die Liste aller (potentieller) Schwachstellen erstellen

4. Test auf Verwundbarkeit

• (teil-) automatisiertes Testen, ob eine einzelne Schwachstelle besteht

5. Beheben der Schwachstelle

• Ergreifen von Gegenmaßnahmen und erneuter Test, ob diese wirksam sind

Strafrecht, Zivilrecht und Öffentliches Recht

 Strafrecht: alle Straftaten und Ordnungswidrigkeiten, die im Internet geahndet werden

(Pornografie, Volksverhetzung, Verbreitung von Schriften)

 Zivilrecht*: Haftungen in Urheberrechts- Kennzeichenrechts-, Wettbewerbsrechts- und

Deliktsrechtsfragen (Verträge und Haftung im Online-Handel) .

 Öffentliches Recht: Anbieterkennzeichnung, Jugendschutz und Werbung

*Im Detail: Urheberrecht, Wettbewerbsrecht und Namens- und Markenrecht

 Urheberrecht: Schutz geistiger Schöpfungen zu Persönlichkeitsrecht, Verwertungsrecht und

Nutzungsrecht (Tauschbörsen und Privatkopien)

 Wettbewerbsrecht: unlauterem Handeln, bspw. zu Kundenfang und wirtschaftliche

Behinderungen (Online-Werbung, Monopole).

 Namens- und Markenrecht: Domainregistrierung und -nutzung

1. Recht auf informationelle Selbstbestimmung

Jeder Bürger darf selbst über Bekanntgabe seiner Daten entscheiden

2. Kein belangloses Datum

Jedes personenbezogene Datum (sensibel, oder nicht) steht unter dem Schutz des Grundgesetzes

3. Aufklärungspflicht

Die datenverarbeitenden Stellen müssen die Bürger informieren

4. Zweckbindung

Daten dürfen nur für einen bestimmten Zweck erhoben und gespeichert werden

1. Medienrecht: Regelt öffentliche Telemedien auf Grundlage des Telemediengesetzes (TMG)

2. Telekommunikationsrecht: Regelt Individualkommunikation und Anbieterkennzeichnung (ehemals Teledienstegesetz TDG)

3. Rundfunkrecht: (hier nicht im Fokus) behandelt Rundfunkfreiheit und Finanzierung von Rundfunkanstalten

4. Datenschutzrecht: Beruht u. a. auf der DSGVO, betrifft Schutz personenbezogener Daten

1. Bußgelder: Bis zu 20 Mio € oder 4 % des weltweiten Jahresumsatzes bei Großkonzernen

2. Informationspflicht: Nutzer müssen über Zweck der Datenerhebung informiert werden und Widerspruchsmöglichkeit haben

3. Zweckbindung: Daten dürfen nur für den angegebenen Zweck verwendet werden – Zweckänderung (z. B. für Marketing) ist unzulässig

4. E-Mail-Direktwerbung: Nur erlaubt bei bestehender Kundenbeziehung und datenschutzkonformer Datenerhebung; Widerspruch muss kostenlos und einfach möglich sein

5. Vorratsdatenspeicherung: Unter bestimmten Bedingungen durch Mitgliedstaaten zulässig (z. B. zur Strafverfolgung)

6. Internationale Datenübertragung: Das „Safe Harbour“-Abkommen mit den USA wurde 2015 gekippt

7. Zukünftig: Die E-Privacy-Verordnung soll die DSGVO ergänzen und u. a. die Cookie-Richtlinie ablösen

1. Geltungsbereich: Die DSGVO gilt auch für private Blogs oder Vereinswebsites, außer sie dienen ausschließlich familiären/persönlichen Zwecken (dann keine Werbung/Banner erlaubt)

2. Personenbezogene Daten: Auch IP-Adressen gelten als solche

3. Keine Weitergabe an Dritte: Daten dürfen nicht ohne Einwilligung an Dritte (z. B. Cloud-Dienste) übertragen werden → Ausnahme: Auftragsverarbeitung mit Vertrag – Dienstleister gilt dann nicht als Dritter → USA kein sicheres Drittland, es sei denn: Anbieter ist Privacy-Shield-zertifiziert (Status ungewiss)

4. Informationspflicht: Besucher müssen transparent und umfangreich informiert werden über:

   • Zweck und Rechtsgrundlage der Verarbeitung

   • Speicherdauer (z. B. IP-Adressen max. 14 Tage)

   • Rechte der Betroffenen und optisch hervorgehobene Widerspruchsmöglichkeiten

1. Privacy Policy: Muss präzise, transparent, verständlich und leicht zugänglich sein

2. Dateneingaben: Müssen verschlüsselt übertragen und vor Zugriff Dritter geschützt werden

3. Cookies:

   • Gelten als pseudonymisierte Daten und erfordern aktive Zustimmung

   • Ausnahme: First-Party-Cookies, wenn sie dem Nutzerinteresse nicht widersprechen (z. B. zur Optimierung)

   • Opt-Out-Möglichkeit für alle Cookies muss jederzeit einfach möglich sein

4. Social Media Plug-ins: Dürfen nur mit ausdrücklicher Zustimmung eingebunden werden

5. Recht auf Datenlöschung: Muss umgesetzt und auch bei weitergegebenen Daten beachtet werden

6. Recht auf Datenübertragbarkeit: Nutzer haben Anspruch auf strukturierte, maschinenlesbare Rückgabe ihrer Daten zur einfachen Weitergabe an andere Anbieter

 Name und Kontaktdaten des Website Betreiber (Anschrift plus E-Mailadresse)

 (alle) Zweck(e) der Datenverarbeitung

 Rechtsgrundlage der Datenverarbeitung und Rechte des Nutzers (Betroffenenrechte)

 Speicherdauer

Ggf. auch (optional/je nach Umfang der Daten und Verarbeitung):

 Kontaktdaten des Datenschutzbeauftragten

 Bei Datenweitergabe von Daten die Empfänger (oder Empfängerarten)

 Absicht, die Daten ins EU-Ausland zu übermitteln

 Umstände der Bereitstellung der Daten und ggf. einer automatisierten Entscheidungsfindung

DSGVO… auf internationaler Ebene:

 Datenschutzrecht der DSGVO greift, wenn

 Unternehmen (Sitz im EU-Mitgliedstaat) - Datenverarbeitung in nicht EU

 Unternehmen (Sitz in nicht EU) – Datenverarbeitung in EU-Mitgliedsstaat.

 Außereuropäisches Recht greift, wenn

 Unternehmen (Sitz außerhalb der EU) – Datenverarbeitung außerhalb der EU

 Eine sehr spezielle Situation vorliegt, bspw:

„amerikanischer Beauftragter mit Notebook im Transitbereich eines Flughafens in einem EU-

Mitgliedsstaat („Durchfuhr“) sich aufhält und Daten sammelt“

Privater Gebrauch

Findet dann statt, wenn ich die Medien nicht veröffentliche (nur persönlich bekannter Personenkreis) und nicht für

kommerzielle Zwecke weitergeben

 Hier gilt weiter das KUG (Kunsturhebergesetz), das heißt, ich darf erstmal fast alles, was nicht die „Privatsphäre

verletzt“ (nicht gegen Willen)

Kommerzieller Gebrauch

Wenn ich die Medien veröffentliche und/oder geschäftlich weitergebe

? Aktuell unklar (fehlende Urteile), ob§23 KUG nach DSGVO noch gilt, wonach Bilder aus der Zeitgeschichte, von

Versammlungen oder wo Personen nur als Beiwerk erscheinen, veröffentlicht werden dürfen.

 Ich darf das mit Erlaubnis (+Datenschutzerklärung), muss das Erhalten aber nachweisen können: daher am

besten schriftlich fixieren, bei Personen bis 16 Jahren müssen beide Elternteile unterzeichnen!

 Bei „berechtigten Interesse“, bspw. als Veranstalter eines Events (auch bei Familienfeiern), im öffentlichen Raum

durch Nutzung der Kunst- und Meinungsfreiheit (Vorsicht: immer Abwägungssache); aber immer per Aushang,

Schild oder „im Programmheft“ darauf hinweisen!

Sicherheitsziele im Unternehmen sollten SMART + „AHL“ formuliert werden:

 Specific: Zielzustand sollte möglichst präzise beschrieben werden.

 Measurable: Das Ziel muss zur Zielerreichung messbar beschrieben werden.

 Accountable: Zuständigkeit für das Erreichen des Ziels zuständig muss deutlich sein.

 Realistic: Das Ziel muss realistisch erreichbar sein.

 Time based: es sollte ein Zeitpunkt definiert werden, bis zu dem das Ziel erreicht werden soll.

 Akzeptabel: Das Ziel sollte erstrebenswert sein / man sollte sich damit identifizieren können.

 Herausfordernd: Das Ziel sollte ein Anstrengung notwendig machen.

 Legal: Es darf nicht gegen Gesetze und Vorschriften verstoßen.

 Mission Statement: Sollte die wichtigsten Elemente der Zielsituation in wenigen Sätzen / einem

Satz formulieren. Beispiel: „Don‘t be evil!“ (bei Google sogar an die Kunden gerichtet)

 Fachlichen Sicherheitszielen, bestimmt durch:

• Technische Ziele, Organisatorische Ziele, Prozessziele, Strategische Ziele

 Qualitätszielen, bestimmt durch:

• Effektivitätsziele, Operative Ziele

 Methodische Zielen, bestimmt durch:

• Effizienzziele, Vorgehensziele

 Zielen des IT-Sicherheitsbereich, bestimmt durch:

• Unternehmensziele, Persönliche und Kostenziele

Die Sicherheitsrichtlinie (security policy) eines Systems oder einer organisatorischen

Einheit legt die Menge von technischen und organisatorischen Regeln,

Verhaltensrichtlinien, Verantwortlichkeiten und Rollen sowie Maßnahmen fest, um die

angestrebten Schutzziele zu erreichen.

 Benutzerbestimmbare Richtlinie (discretionary policy)

Wenn der Benutzer die Rechtevergabe von Objekten selbst bestimmen kann

 Systembestimmte Richtlinie (mandatory policy)

Zugriffsrechte werden auf Basis a priori vergebenen Festlegungen kontrolliert

Beispiel: Passwort-Richtlinie

 Beispielhafte organisatorische Umsetzung der IT-Sicherheitsziele im Unternehmen

 Unternehmensleitung (gesamt)

Definiert die IT-Sicherheitsleitlinie und wird von den Vorständen unterzeichnet.

 IT-Sicherheitsbeauftragten

Leitet aus Unternehmenszielen und der IT-Sicherheitsleitlinie die IT-Sicherheitsanforderungen und

IT-Sicherheitsrichtlinie ab.

 Datenschutzbeauftragten

Wirkt und achtet auf die Einhaltung des Datenschutzes.

 Risikomanagers

Ihm obliegt die systematische Erfassung und Bewertung von Risiken (auch geschäftlichen!) sowie

die Steuerung von Reaktionen auf festgestellte Risiken.

 Arbeitsgruppe „IT-Security“ (und Information Security Management)

Gewährleistung der technischen Sicherheit der Produkte, Systeme und Prozesse. Unterstützen

den IT-Sicherheitsbeauftragten.

 Fachbereiche

Sind für die Umsetzung der Richtlinien und die Einhaltung des Datenschutzes verantwortlich.

Unter einer Sicherheitsinfrastruktur (auch: Sicherheitsarchitektur) verstehen wir die

Bestandteile einer System-Architektur, welche die festgelegten Sicherheitseigenschaften

durchsetzen.

 Sicherheitskette

Dies Sicherheit eines IT-Systems wird durch das schwächste Glied seiner

zusammenwirkenden Komponenten bestimmt.

(Gesamtbetrachtung, technisch und organisatorisch)

 Cyber-Sicherheit

Zusammenfassung der Herausforderungen, die sich durch die Vernetzung von ITK-Systemen

ergeben.