Buffl
Buffl
Grundlagen der Sicherheit

Einführung

ib
by ite B.

Safety vs. Security

Sicherheit = Safety + Security


Safety

  • Schutz vor nicht beabsichtigen Ereignissen auf (idR) materielle Schutzgüter (Unfallvermeidung)

  • Ausfallsicherheit und Betriebssicherheit

  • Mensch/Umwelt vor unfallbedingten physischen Schaden schützen


Security

  • Security: Schutz vor beabsichtigen Angriffen auf (idR) immaterielle Schutzgüter (Kriminalprävention)

  • Informationssicherheit

  • Daten/ Ressourcen vor gezielten Angriffen schützen




IT - Sicherheit

  • Zustand, in dem die Sicherheitsaspekte von Ressourcen (z.B. Informationen/Daten/Aktion) durch angemessene Maßnahmen geschützt werden


Operation Cupcake


  • MI6 haben Anleitungen zum Bau von Rohrbomben aus Online Magazin der Al-Qaida durch Rezepte für Cupcakes ersetzt

Thunderstruck Wurm

  • Juli 2012 Angriff iranisches Atomkraftwerk - AC/DC max. Lautstärke

Integrität Bilddaten / Videos

  • digitale Bilddaten - Integrität/Authenzität immer zweifelhaft

  • Atombombenexplosion im tschechischen Frühstücksfernsehen


3 Verteidigungslinien in der IT-Sicherheit

  • Prävention

    • Mechanismen implementieren, die Benutzer nicht außer Kraft setzen kann

    • glaubhaft korrekt und unveränderbar implementiert

  • Detektion

    • Feststellen Angriff erfolgt oder ist erfolgt

    • Feststellung melden

  • Reaktion

    • korrektes Systemverhalten wird wiederhergestellt


5+1 Sicherheitsaspekte - sollen geschützt werden

  • Integrität

    • Unverfälschtheit von Ressourcen

    • Änderungen an kommunizierten Inhalten/ Absender erkennen

  • Authentizität

    • Herkunftsnachweis von Ressourcen oder Identifikationsnachweis von Subjekten

  • Verfügbarkeit

    • Erreichbarkeit, Abrufbarkeit und Nutzbarkeit von Ressourcen/ Diensten

  • Verbindlichkeit

    • Beweisbarkeit, dassEreignis oder Aktion stattgefunden hat (Notardienste, Zeitstempeldienste)

  • Vertraulichkeit

    • Geheimhaltung von Ressourcen gegenüber unberechtigten Dritten - Verschlüsselung


  • Privatsphäre

    • Umgang mit personenbezogenen und personenbeziehbaren Daten

    • vertrauliche, authentische und integritätsgesicherte Speicherung und Nutzung von personenbeziehbaren Daten


Herausforderung IT-Sicherheit

  • keine Sensibilisierung...- Naivität

  • Variiende Sicherheitsziele und –bedürfnisse bei verschiedenen Nutzergruppen

  • Security meistens weniger komfortabel

  • Sicherkosten vs. –verluste in Wirtschaft und Industrie


Passort - Beispiel


Ausgangssituation:

  • Wahl eines sicheren Passwortes ist fundamental für guten Zugriffsschutz

  • Wichtigstes Authentifizierungswerkzeug

Präventive Maßnahmen (Mensch):

  • Wahl von sicheren Passwörtern (Länge, alpha-nummerisch mit Sonderzeichen)

  • Sensibilisieren!!!

  • regelmäßiger Passwortwechsel

  • hohe variabilität bei genutzten Passwörtern

  • Logout!!!


Präventive Maßnahmen (System):

  • PW-Komplexität vorgeben

  • Wahl neuer Passwörter vorgeben

  • Verschlüsselung bei Übertragung

  • kryptografische Hashfunktionen bei Speicherung


Maßnahmen zur Detektion (Mensch):

  • letzten Login

  • Emails im Ausgang

  • Auffälligkeiten nicht ignorieren


Maßnahmen zur Detektion(System):

  • IP bei Login

  • MAC adresse bei Login

  • Fehlversuche melden


reaktive Maßnahmen (Mensch):

  • Admin/System/Betreiber kontaktieren

reaktive Maßnahmen (Sytem):

  • Account sperren


Basis Angriffe in der Kommunikation

  • Lesen

  • Unterbrechen

  • Verändern

  • Erzeugen

  • Stehlen


MitM

Dos


  • Alice und Bob:

    • Sender/Empfänger

  • Carol und Dave:

    • weitere Parteien

  • Eve:

    • hört zu, Eavesdropper

  • Trudy, Mallory, Marvin, Mallet, Oscar:

    • Angreifer

  • Trent:

    • vertrauenswürdige dritte Instanz

  • Willie, Wendy:

    • the warden


Join Course
Preview

Author

ite B.

Information

Last changed

Report course
© 2023 Buffl GmbH