7. IT-Sicherheit Flashcards
(17 cards)
Motivation
- Sicherheit für Daten und IT-Systeme
- Sicherstellung des Betriebs
- technische und organisatorische Maßnahmen zum Erreichen/Verbessern von IT-Sicherheit
Welche potenzielle Risiken existieren?
- Daten-Leak, Cyberangriff, Missbrauch von Daten
- Arbeitsunfähigkeit
- Ausfall von Systemen
- technische Defekte (z.B. Speicherplattform)
Klassifikation von Risiken
- absichtliche Schädigungen (Externen (Hacker), Internen (Mitarbeiter)
- unbeabsichhtugte Schädigungen (Bedienfehler, Unachtsamkeit)
- nicht beeinflussbare äußere Ereignisse (Naturkatastrophe)
Schutzziele 1
- Vertraulichkeit -> Zugriff aus Daten nur für Brfugte
- Integrität -> Unverfälschtheit von Daten (Änderungen sollen auffalen)
- Verfügbarkeit -> Daten / IT-Systeme jederzeit nutzbar
- Authentizität -> Prüfung der Idenität
- Verbindlichkeit -> nachträgliche Beweisbarkeit, dass eine Person bzw. System eine Handlung getätigt hat
- Anonymität -> Handlungen bzw. Daten nicht auf Person zurückführba
Schutzziele 2
- nicht alle Schutzziele sind in jeder Situation gewollt bzw. notwendig
- manche Schutzziele schließen sich gegenseitig aus (Verbindlichkeit & Anonymität)
Schutzziel Vertraulichkeit - Verschlüsselung
- Teilaspekt der Vertraulichkeit
- Daten über Kanäle übertragen, bei denen Unbefugte mitlesen können
- Ziel: Daten sicher über einen unsicheren Kanal übertragen, d.h. Unbefugte können verschlüsselte Nachricht erhalten, abre nur befugte Empfänger können Nachricht entschlüsseln
Grundkonzept Verschlüsselung
- s. Schaubild F. 9
Beispiel: Caesar-Verschlüsselung
Beispielrechnung s. Notizen
- simples und unsicheres Verfahren
- Verschlüsseln -> jeden Buchstaben des Klartexts um eine best. Anzahl an Stellen im Alphabet nach hinten verschieben, Schlüssel = Anzahl der verschobenen Stellen
- Entschlüsseln -> jeden Buchstaben im Geheimstellen um die gleiche Anzahl an Stellen nach vorn verschieben (Nach A kommt Z), Schlüssel: gleich wie beim Verschlüsseln
Sicherheit von Caesar-Verschlüsselung
- 26 unterschiedliche Verschiebungen möglich
- Verschiebung um 26 Stellen: Geheimtext = Klartext
- Fazit nur 25 versch. Schlüssel
- “Knacken” -> alle 25 Schlüsseln ausprobieren und schauen wo sinnvoller Klartext
- allgemeine Erkenntnis: Verschlüsselungsverfahren müssen so viele Schlüsseln haben, damit es nicht durch ausprobieren genknackt werden kann (Brute-Force-Methode)
Security by Obscurity vs. Kerckhoffs Prinzip
Security by Obscurity:
- Funktionsweise des Verfahrens geheim
- Idee: Je weniger Wissen für Angreifer, desto weniger Angriffsfläche
Kerckhoffs Prinzip:
- Verfahren bekannt, Sichrheit basiert auf Geheimhaltung des Schlüssels
- Idee: Verfahren durch Öffentlichkeit auf Schwachstellen analysiert und getestet werden
- dieses Prinzip von Mehrheit der Experten als überlegen betrachtet
Klassifikation Verschlüsselungsverfahren
- symmetrisches Vershclüsselungdverfahren
- asymmetrisches Verschlüsselungsverfahren
-hybride Verschlüsselungsverfahren
Symmetrisches Verfahren
s. Schaubild F. 14!!!
- Vorteil: schnell
- Nachteil: sichere Übermittlung des gemeinsamen Schlüssels muss auf anderem Weg geschehen
- Bsp.: AES (Schlüssellänge 256 Bit)
Asymmetrisches Verfahren
s. Schaubild F. 15!!!
- Vorteil: leichter Schlüsselaustausch
- Nachteil: langsam
- Bsp.: RSA (Schlüssellänge 2048 Bit)
Hybride Verschlüsselungsverfahren
- Kombi symmetrischer und asymmetrischer Verfahren, um Vorteile beider zu nutzen
Ablauf:
1. Klartext mit sy. V. verschlüsselt (Vorteil: Geschwindigkeit)
2. Gemeinsamer Schlüssel asymmetrisch verschlüsselt (Vorteil: einfacher Schlüsselaustausch)
3. Geheimtext und asy. verschlüsselter gemeinsamer Schlüssel vom Sender zum Empfänger geschickt
Schutzziel Authentizität - Klassifikation von Authetifizierungsmethoden
- Wissen: PIN, Passwort, Antwort auf Sicherheitsfrage
- Besitz: Ausweis, Chip-Karte, TAN-Generatot, Handy mit SIM-Karte etc.
- biometrische Eigenschaften: Fingerabdruck, Gesichtserkennung
2-Faktor-Authentifizierung
- Steigerung der Sicherheit durch Kombi zweier Authentifizierungsmethoden (zwei unterschiedliche Kategorien)
- Bsp.: SIM-Karte und PIN, Girovard und PIN
Schutzziel Verfügbarkeit
s. F. 21
- Zweck: Daten und Syteme sollen jederzeit nutzbar sein
- Bsp. für Gefahren: Stromausfall, Netzwerkausfall, Hardwaredefekt, Naturkatastrophen
- Schutzmaßnahmen:
1. Maßnahmen, um Eintrittswahrscheinlichkeit zu minimieren. (Notstromversorgung, Redundanz bei Netzwerkanbindung)
2. Maßnahmen, um Schadenshöhe im Eintrittsfall zu minimieren: regelmäßige Erstellung von Backups
