IT-Sicherheit Flashcards Preview

2 - Wirtschaftsinformatik > IT-Sicherheit > Flashcards

Flashcards in IT-Sicherheit Deck (21)
Loading flashcards...
1

Motivation der IT-Sicherheit (3)

1) Sicherheit für Daten und IT-Systeme
2) Sicherstellung des Betriebs
3) technische und organisatorische Maßnahmen zum Erreichen/Verbessern von IT-Sicherheit

2

Klassifikation von Risiken (3)

1) Absichtliche Schädigungen
-von externen
-von internen
2) Unbeabsichtigte Schädigungen
-Bedienfehler
-Unachtsamkeit
-usw.
3) Nicht beeinflussbare äußere Ereignisse
-z.B. Naturkatastrophen

3

Schutzziele (6)

1) Vertraulichkeit
• Zugriff auf Daten nur für Befugte
2) Integrität
• Unverfälschtheit von Daten (Änderungen an Daten sollen „auffallen“)
3) Verfügbarkeit
• Daten und IT-Systeme sollen jederzeit nutzbar sein
4) Authentizität
• Prüfung der Identität einer Person
5) Verbindlichkeit
• nachträgliche Beweisbarkeit, dass eine Person bzw. ein System eine Handlung getätigt hat
6) Anonymität
• Handlungen bzw. Daten sollen nicht auf eine Person zurückführbar sein

4

Anmerkungen zu den Schutzzielen

-Nicht alle Schutzziele sind in jeder Situation gewollt/notwendig
-Schutzziele können sich gegenseitig ausschließen

5

Erkläre Verschlüsselung

-Daten werden oft über Kanäle übertragen, bei denen
Unbefugte mitlesen können
-Ziel: Sichere Übertragung von Daten über eig. unsicheren Kanal
-also; Unbefugte können verschlüsselte Nachrichten vlt. erhalten aber nur Befugte können entschlüsseln

6

Wichtige Begriffe IT-Sicherheit

1) Klartext
-unverschlüsselter Text
2) Geheimtext
-verschlüsselter Text (nicht direkt lesbar)

7

Erkläre Caesar-Verschlüsselung

Verschlüsseln:
-jeder Buchstabe des Klartexts wird Anzahl x nach hinten Verschoben
Entschlüsseln:
-Jeder Buchstabe des Geheimtextes wird um gleiche Anzahl der Schlüssel nach vorn verschoben
Schlüssel:
Anzahl verschobener Stellen

8

Sicherheit der Caesar-Verschlüsselung

-25 Verschiebungen möglich, also 25 Schlüssel
Knacken:
-alle Schlüssel ausprobieren
Erkenntnis:
Verschlüsselungsverfahren müssen so viele Schlüssel haben, dass es nicht möglich ist, alle auszuprobieren (Brute-Force-Methode)

9

Erkläre: Security by Obscurity

• Funktionsweise des Verfahrens wird geheim gehalten
• Idee: Je weniger Wissen Angreifer über Verfahren haben, desto weniger
Angriffsfläche bietet sich ihnen

10

Erkläre: Kerckhoffs´ Prinzip

• Verfahren kann bzw. soll sogar bekannt sein; Sicherheit basiert auf
Geheimhaltung des Schlüssels
• Idee: Verfahren kann durch Öffentlichkeit auf Schwachstellen analysiert und getestet werden. Je mehr Personen (erfolglos) versuchen, das Verfahren zu „knacken“, als desto sicherer kann man es betrachten
-wird als überlegen betrachtet

11

Klassifikation Verschlüsselungsverfahren (3)

1) Symmetrisches Verschlüsselungsverfahren
2) Asymmetrisches Verschlüsselungsverfahren
3) Hybride Verschlüsselungsverfahren

12

Erkläre Symmetrische Verschlüsselungsverfahren

-Sender und Empfänger haben einen gemeinsamen Schlüssel
-Geheimtext wird also genauso verschlüsselt wie entschlüsselt
-Vorteil: relativ schnell
-Nachteil: sichere Übermittlung des gemeinsamen Schlüssels muss auf anderem Weg geschehen
-Beispiel: AES (Schlüssellänge: 256 Bit)

13

Asymmetrische Verschlüsselungsverfahren

-Sender und Empfänger haben jeweils einen privaten und den öffentlichen Schlüssel
-Klartext wird mit öffentlichem Schlüssel (des Empfängers) verschlüsselt
-Text wird mit privatem Schlüssel des Empfängers entschlüsselt
-Vorteil: leichter Schlüsselaustausch
-Nachteil: relativ langsam
-Beispiel: RSA (Schlüssellänge: 2.048 Bit)

14

Hybride Verschlüsselungsverfahren

-Kombination symmetrischer und asymmetrischer
Verschlüsselungsverfahren
-Ablauf:
1) Klartext wird mit einem symmetrischen Verfahren (z.B. AES) verschlüsselt (Vorteil: Geschwindigkeit)
2) Gemeinsamer Schlüssel wird asymmetrische verschlüsselt (z.B. RSA) (Vorteil: einfacher Schlüsselaustausch)
3) Geheimtext und asymmetrisch verschlüsselter gemeinsamer Schlüssel werden vom Sender zum Empfänger verschickt

15

Zweck Authentizität

-Prüfung der Identität einer Person für Zugriff auf ein IT-System bzw. Daten

16

Klassifikation von Authentifizierungsmethoden

1) Wissen
• PIN
• Passwort
• Antwort auf Sicherheitsfrage
2) Besitz
• Ausweis (Personalausweis, Mitarbeiterausweis , …)
• Chip-Karte (Girocard, …)
• TAN-Generator
• Handy mit SIM-Karte
3) biometrische Eigenschaften
• Fingerabdruck
• Gesichtserkennung

17

Vorteile 2-Faktor-Authentifizierung

Steigerung der Sicherheit, da 2 Authentifizierungsmethoden genutzt werden (unterschiedliche Kategorien)
Beispiel: Girocard (Besitz) und Pin (Wissen)

18

Zweck Verfügbarkeit

Daten und IT-Systeme sollen jederzeit nutzbar sein

19

Beispiele für Gefahren:

• Stromausfall
• Netzwerkausfall
• Hardwaredefekt
• Naturkatastrophen

20

Schutzmaßnahmen der Verfügbarkeit

1) Maßnahmen, um Eintrittswahrscheinlichkeit zu minimieren
• Notstromversorgung (Akkus für wenige Minuten, danach Notstrom-Dieselgeneratoren)
• Redundanz bei Netzwerkanbindung
2) Maßnahmen, um Schadenshöhe im Eintrittsfall zu minimieren
• regelmäßige Erstellung von Backups (Sicherungskopien)

21

Zweck Schutzziel Vertaulichkeit

Zugriff auf Daten nur für Befugte