Sicherheit im Internet I

Question 1

CERT

Answer 1

Ein Computer Emergency Response Team ist eine Anlaufstelle, die Meldungen über Sicherhheitsvorfälle entgegen nimmt und über mögliche Abwehrmaßnahmen informiert. (Siehe http://www.cert.org)

Question 2

BSI

Answer 2

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine deutsche Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern, für Bau und Heimat mit Sitz in Bonn, die für Fragen der IT-Sicherheit zuständig ist. Der Leitsatz des BSI lautet: „Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.“[3] Die Stellenzahl des BSI hat sich zwischen 2016 und 2019 auf knapp 1.290 Stellen verdoppelt. Für 2020 sind im Bundeshaushalt weitere Stellen für das BSI vorgesehen, so dass die Anzahl der Stellen bei rund 1.430 liegen wird.[4]

Question 3

Conficker

Answer 3

Der Wurm “Conficker” (alias “Downadup”) war ein großes Sichrheitsproblem aus dem Jahr 2008. Er nutzt einige Software-Fehler in allen Betriebssystemen von Microsoft Windows 2000 bis Micorosft Windows 2008 aus. Der Remote-Procedure-Call-Dienst (RPC-Dienst) enthält einen Fehler, so dass ein Angreifer eine spezielle nachricht an den Rechner schikcen kann, um dann die komplette Kontrolle über diesen Rechner auszuüben. Der Angreifer braucht keine Benutzerkennung (engl. user id) oder irgendein Passwort auf dem System zu kennen oder auszuspähen. Der RPC-Dienst wird bei der Datei- und Druckerfreigage in Microsoft Windows benutzt.

Question 4

NAT

Answer 4

Network-Address-Translation

Question 5

NSA

Answer 5

National Security Agency (USA)

Question 6

PRISM

Answer 6

PRISM (US: [ˈprɪzəm]; GB: [ˈprɪz(ə)m]; deutsch Prisma) ist ein seit 2005 existierendes und als Top Secret eingestuftes Programm zur Überwachung und Auswertung elektronischer Medien und elektronisch gespeicherter Daten. Bei der Bezeichnung PRISM handelt es sich um ein Apronym mit der Bedeutung „Planning tool for Resource Integration, Synchronization, and Management“ (zu deutsch: “Planungswerkzeug für Ressourcenintegration, Synchronisation und Management”). Es wird von der US-amerikanischen National Security Agency (NSA) geführt und gehört wie die anderen Teilprogramme „Mainway“, „Marina“ und „Nucleon“ zu dem groß angelegten Überwachungsprogramm „Stellarwind“.

Question 7

JAP

Answer 7

todo

Question 8

TOR

Answer 8

todo

Question 9

KonTraG

Answer 9

Das “Gesetz zur Kontrolle und Transparenz im Unternehmensbereich” trat am 1. Mai 1998 in Kraft. Es zwingt börsennotierte Aktiengesellschaften zur Risikovorsorge durch die Etabilierung eines Risikomanagement- und Kontrollsystems. Das heißt, dass diese Firmen gezwungen sind, sich mit den Risiken, die durch ihre IT-Systeme entstehen können, auseinander zu setzen.

Question 10

Basel Committee on Banking Supervision

Answer 10

Das Basel Committee on Banking Supervision mit Sitz ist in Basel, hat mit den Reformpaketen “Basel I”, “Basel II” und “Basel III” erlassen.

Question 11

Basel II

Answer 11

Abkürzung für Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht im Juni 2004 veröffentlicht wurden. Basel II erweitert Basel I, Erweiterungen dieser Vorschriften erfolgten durch Basel III.

Question 12

Basel III

Answer 12

Abkürzung für Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht im Dezember 2010 in einer vorläufigen Endfassung veröffentlicht wurden. Vorgänger dieser Vorschriften waren Basel I und Basel II.

Question 13

PSD2

Answer 13

Die Richtlinie “Payment Service Directive 2” umfasst viele verschiedene Regelungen. Aus Verbrauchersicht unmittelbar spürbar ist die Pflicht zur Zwei-Faktor-Authentifizierung im Onlinebanking und bei Bezahlungen mit Girokarte, Kreditkarte, PayPal usw. Weil die Regelungen für den Handel aufwendig umzusetzen und für den Verbraucher umständlich sind, wurde die Einführung in Deutschland mehrmals verschoben, von ursprünglich September 2019 auf zuletzt Mitte März 2021.

Die überarbeitete Zahlungsdiensterichtlinie (PSD2) löst die Zahlungsdiensterichtlinie 2007/64/EG (PSD bzw. PSD1) vom 13. November 2007 ab und ist seit 13. Januar 2018 gültig.

Question 14

DSGVO

Answer 14

Die Datenschutz-Grundverordnung (DSGVO oder DS-GVO; französisch Règlement général sur la protection des données RGPD, englisch General Data Protection Regulation GDPR) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Verantwortlichen, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Zusammen mit der so genannten JI-Richtlinie für den Datenschutz in den Bereichen Polizei und Justiz bildet die DSGVO seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union. Sie ist darüber hinaus seit dem 20. Juli 2018 auch in den Nicht-EU-Staaten des Europäischen Wirtschaftsraumes (EWR) Island, Liechtenstein und Norwegen geltendes Recht.[3]

Question 15

Definition Sicherheit

Answer 15

1) Zivilrecht: Bürgschaft, Pfand oder jeder Vermögenswert, der zur Sicherheitsleistung gebracht wird.
2) objketiv das Nichtvorhandensein von Gefahr, subjektiv die Gewissheit, vor möglichen Gefahren geschützt zu sein.

Question 16

Potentielle Angriffsziele

Answer 16

1) Kommunikationswege (e.g. Ströme in Kabeln, Funkwellen)
2) Computer
3) Daten

Question 17

Bedrohungsklassen

Answer 17

1) technische und nicht-technische Bedrohungen
2) beabsichtigte und unbeabsichtigte Bedrohungen
3) aktive und passive Bedrohungen

Beispiel:
technisch: kosmische Strahlung, Softwarefehler
nicht-technisch: Händische Dateneingabe, Stromkabel gezogen
beabsichtig: Spionage, DoS
unbeabsichtigt: Hardwarebeschädigung durch verschütteten Kaffee
aktiv: Erzeugen, Unterdrücken oder Verzügern von Nachrichten
pasiv: Mitschnitt einer laufenden Übertragung

Question 18

Vertraulichkeit

Answer 18

Vertraulichkeit (engl. confidentiality) ist die Eigenschaft einer Nachricht, nur für einen beschränkten Empfängerkreis vorgesehen zu sein. Weitergabe und Veröffentlichung sind nicht erwünscht. Vertraulichkeit wird durch Rechtsnormen geschützt, sie kann auch durch technische Mittel gefördert oder erzwungen werden.

Question 19

Unbefugter Informationsgewinn

Answer 19

Der unbefugte Informationsgewinn ist ein Angriff auf die Vertraulichkeit der übertragenen Daten. Er ist ein passiver Angriff, der absichtlich oder unabsichtlich erfolgen kann.

Question 20

Verschlüsselung

Answer 20

Verschlüsselung (auch: Chiffrierung oder Kryptierung) ist die von einem Schlüssel abhängige Umwandlung von „Klartext“ genannten Daten in einen „Geheimtext“ (auch „Chiffrat“ oder „Schlüsseltext“ genannt), so dass der Klartext aus dem Geheimtext nur unter Verwendung eines geheimen Schlüssels wiedergewonnen werden kann.

Verschlüsselung dient zur Geheimhaltung von Nachrichten, beispielsweise um Daten gegen unbefugten Zugriff abzusichern oder um Nachrichten vertraulich zu übermitteln. Die Wissenschaft des Verschlüsselns wird als Kryptographie bezeichnet.

Question 21

Steganografie

Answer 21

Die Steganographie (auch Steganografie) ist die Kunst oder Wissenschaft der verborgenen Speicherung oder Übermittlung von Informationen in einem Trägermedium (Container). Das Wort lässt sich auf die griechischen Bestandteile στεγανός steganós ‚bedeckt‘ und γράφειν gráphein ‚schreiben‘ zurückführen, bedeutet also wörtlich „bedeckt schreiben“ bzw. „geheimes Schreiben“. Das modifizierte Medium wird als Steganogramm bezeichnet.

Question 22

Integrität

Answer 22

Integrität (von lateinisch integritas ‚Unversehrtheit‘, ‚Reinheit‘, ‚Unbescholtenheit‘) ist neben Verfügbarkeit und Vertraulichkeit eines der drei klassischen Ziele der Informationssicherheit. Eine einheitliche Definition des Begriffs Integrität gibt es nicht. In den Evaluationskriterien für Informationssicherheit der frühen 1990er Jahre (ITSEC) wird Integrität definiert als „Verhinderung unautorisierter Modifikation von Information“. Laut Glossar des Bundesamtes für Sicherheit in der Informationstechnik bezeichnet Integrität die „Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen“. Für Computersysteme werden verschiedene Integritätszustände definiert:

Korrekter Inhalt
Diese Integritätsart liegt vor, wenn Sachverhalte der realen Welt korrekt abgebildet werden. Dies soll beispielsweise durch Integritätsbedingungen sichergestellt werden.

Unmodifizierter Zustand
Diese Integritätsart liegt vor, wenn Nachrichten unverändert zugestellt werden und Programme und Prozesse wie beabsichtigt ablaufen. Sie entspricht der Definition im BSI-Glossar.

Erkennung von Modifikation
Diese Integritätsart liegt vor, wenn unerwünschte Modifikationen, die nicht verhindert werden können, zumindest erkannt werden.

Temporale Korrektheit
Diese Integritätsart liegt vor, wenn Nachrichten ausgetauscht und relevante zeitliche Bedingungen, wie etwa Reihenfolgen oder maximale Verzögerungszeiten, eingehalten werden.

Im Kontext elektronischer Kommunikation ist es nicht sinnvoll, Integrität der Daten und Authentizität des Datenursprungs unabhängig voneinander zu betrachten, da eine Nachricht mit modifiziertem Inhalt aber bekanntem Absender ebenso nutzlos sein dürfte wie eine mit unmodifiziertem Inhalt aber vorgetäuschtem Absender.

Question 23

Unbefugte Modifiation

Answer 23

Die Unbefugte Modifiation ist ein Angriff auf die Integrität der übertragenen Daten. Sie ist ein aktiver Angriff, der i.d.R. absichtlich erfolgt. Doch auch durch technische Probleme ist eine unabsichtigte Modifikation möglich.

Question 24

Authentizität

Answer 24

Authentizität (von gr. αὐθεντικός authentikós „echt“; spätlateinisch authenticus „verbürgt, zuverlässig“) bedeutet Echtheit im Sinne von Ursprünglichkeit.

Question 25

Unbefugte Erzeugung

Answer 25

Die unbefugte Erzeigung von Nachrichten ist ein Angriff auf die Authentizität (engl. authenticity). Sie ist ein aktiver Angriff und erfolt überwigend absichtlich. Er kann bei Konfiugrations- oder Bedienungsfehlern auch unabsichtlich erfolgen.

Question 26

Nicht-Zurückweisbarkeit

Answer 26

Bei der Nicht-Zurückweisbarkeit (engl. non-repudiation) von Nachrichten geht es darum, dass weder der Sender noch der Empfänger die stattgefundene Kommunikation nachtrüglich abstreiten (zurückweisen) können. Konkret beduetet dies, dass

• der Empfänger beweisen kann, dass die Nachricht tatsächlich vom vorgegebenen Absender kommt (vorhandene eigenhändige Unterschrift)
• der Sender bewerisen kann, dass die Nachricht tatsächlich beim geplanten Empfänger und nicht bei jemand anderem angekommen ist (vgl. Einschreiben mit Rückschein bei der Post).

Question 27

Verfügbarkeit

Answer 27

Die Verfügbarkeit eines technischen Systems ist die Wahrscheinlichkeit oder das Maß, dass das System bestimmte Anforderungen zu einem bestimmten Zeitpunkt bzw. innerhalb eines vereinbarten Zeitrahmens erfüllt. Alternativ ist Verfügbarkeit von einer Menge an Objekten definiert als der Anteil der verfügbaren Objekte an der Gesamtzahl der Objekte in dieser Menge (vgl. CLC/TR 50126-3). Sie ist ein Qualitätskriterium und eine Kennzahl eines Systems.

Question 28

Unbefugte Unterbrechung

Answer 28

Die unbefugte Unterbrechung ist ein aktiver Angriff, die i.d.R. absichtlich erfolgen.