IT-Sicherheit Glossar IT

IT-Sicherheit
Glossar
IT-Sicherheit
1
Index IT-Sicherheit
Abhörsicherheit
management method
Angriff
Crasher
Anwendungssicherheit
Datensicherheit
Authentifizierung
DoS, denial of service
Authentizität
EAL, evaluation assurance level
Autorisierung
Flaming
Backdoor
Hacker
Bedrohung
Heuristik
Broadcaststurm
Hijacking
Brute-Force-Angriff
Hoax
BS 7799
Identifikation
BSI, Bundesamt für Sicherheit in der Info.
Identität
CC, common criteria
Informationssicherheit
Compliance
Internetsicherheit
Content-Sicherheit
ISMS, information security management system
Cracker
ISO 17799
CRAMM, computer risk analysis and
IT-Sicherheit
2
IT-Sicherheit
ITSEC, information technology
Sicherheitsdienst
security evaluation criteria
Sicherheitsinfrastruktur
Makrovirus
Sicherheitsmanagement
Malware
Sicherheitspolitik
Man-in-the-Middle-Angriff
Sicherheitsprotokoll
Netzwerksicherheit
Sicherheitsrichtlinie
Perimeter-Sicherheit
Sicherheitsstufe
Phishing
Sicherheitsvereinbarung
Phreaking
Snooping
PnP-Sicherheit
Spam
Risiko
Spoofing
Risikoanalyse
Spyware
Sabotage
TCSEC, trusted computer security
Schwachstelle
trap door
Schwachstellenmanagement
Trojaner
Sicherheit
Virus
Sicherheits-ID
WLAN-Sicherheit
Sicherheitsarchitektur
Wurm
3
IT-Sicherheit
Abhörsicherheit
bug proof
Unter Abhörsicherheit versteht man ganz allgemein die Sicherheit gegen unberechtigtes
Mithören von Dritten bei der Übertragung zwischen Endteilnehmern. Dabei kann es sich
sowohl um die drahtlose Übertragung mittels Funktechnik handeln als auch um das Abhören
der leitungsgebundenen Übertragung über Kabel oder Lichtwellenleiter. Das Abhören betrifft
die Daten- als auch die Sprachkommunikation, wobei letztere durch das Fernmeldegeheimnis
geschützt ist.
Zur Vermeidung des Abhörens werden verschiedene Techniken eingesetzt. Diese reichen von
der Feldstärkemessung über die OTDR-Technik und der Dämpfungsmessung der
Übertragungsstrecke bis zur Verschlüsselung der Information, der gängigsten Methode gegen
unberechtigtes Abhören.
Bei der Mobilkommunikation, bei der die Luftschnittstelle offen ist, werden zu diesem Zweck
alle Gespräche individuell verschlüsselt. Als Verschlüsselungsalgorithmus wird ein
teilnehmereigener Primzahlen-Algorithmus verwendet, der sich auf der SIM-Karte befindet,
aber nicht ausgelesen werden kann.
Angriff
Angriffe sind unerlaubte und nichtautorisierte Aktivitäten zum Schaden von Ressourcen,
attack
Dateien und Programmen. Man unterscheidet zwischen passiven und aktiven Angriffen.
Passive Angriffe bedrohen die Vertraulichkeit der Kommunikation, beeinflussen aber nicht die
Kommunikation oder den Nachrichteninhalt. Sie zielen ausschließlich auf die unerlaubte
Informationsbeschaffung. Die Abhörsicherheit kann durch diverse Verfahren unterlaufen
werden. Eines der bekanntesten ist Tempest, bei dem die elektromagnetische Strahlung von
Bildschirmen, Computerboards und Datenkabel empfangen und ausgewertet wird. Ein großes
Angriffspotential bieten alle Datenkabel, Telefonleitungen, Lichtwellenleiter und vor allem die
Funktechnik, die besonders gefährdet ist. Ist es bei Datenkabeln die elektromagnetische
4
IT-Sicherheit
Strahlung, die abgehört werden kann, so besteht bei Lichtwellenleitern die Möglichkeit diese
stark zu krümmen, bis die Moden das Kernglas verlassen und die optischen Signale austreten.
Bei den aktiven Angriffen werden die Nachrichten, die Komponenten des
Kommunikationssystems oder die Kommunikation verfälscht. Es kann sich dabei um Angriffe
kann auf Netze, um diese funktional zu stören, wie beispielsweise eine DoS-Attacke, um
Angriffe auf den Zugang zu Systemen oder um die Entschlüsselung verschlüsselter Daten und
Nachrichten. Ein aktiver Angreifer kann durch Einfügen, Löschen oder Modifizieren von Inhalten
bestimmte Reaktionen des Empfängers auslösen und dessen Verhaltensweisen steuern. Zu
diesen aktiven Angriffen gehören das Übermitteln von Viren, Würmern und Trojanern.
Anwendungssicherheit
application security
Der Schutz der Anwendungsebene ist ein wesentlicher Aspekt der IT-Sicherheit, da die
Angriffe über Web-Applikationen erfolgen und nicht unmittelbar erkennbar sind. Die Angriffe
reichen von Datendiebstahl über Wirtschaftsspionage und Datenmissbrauch bis hin zu
Vandalismus. So können auf dieser Ebene Dateien mit unternehmenskritischen Informationen
und schützenswerten Zugriffsberechtigungen entnommen oder E-Commerce bzw. M-Commerce
auf fremden Accounts missbräuchlich ausgeführt werden.
Application Security dient dem präventiven Schutz und kann durch Erkennen von IT-Risiken in
die Applikationsebene implementiert werden. Bei der Anwendungssicherheit wird der Inhalt
der Datenpakete überprüft und nicht der Header.
Ansatzpunkte liegen in der genutzten Software, in einer möglichen Authentifizierung bei der
Anwendung oder durch geeignete Verschlüsselungsmaßnahmen. So kann man beispielsweise
Angriffe, die gleichartig ablaufen wie das Cross Site Scripting (XSS), durch Einbau
entsprechender Codes abwehren.
5
IT-Sicherheit
Authentifizierung
Unter der Authentifizierung versteht man die Aufgaben- und Benutzer-abhängige Zugangs-
authentication
und/oder Zugriffsberechtigung. Die Authentifizierung hat den Zweck Systemfunktionen vor
Missbrauch zu schützen. In der Kommunikation stellt die Authentifizierung sicher, dass der
Kommunikationspartner auch derjenige ist, für den er sich ausgibt.
Bei der Authentifizierung wird zwischen einseitiger und gegenseitiger Authentifizierung
unterschieden. In der Praxis ist meistens die einseitige Authentifizierung üblich, wobei
beispielsweise beim Login der Benutzer sein Passwort eingibt und damit nachweist, dass er
wirklich der angegebene Benutzer ist. Als Sicherheitsdienst für die einseitige Identifikation
dient der Empfängernachweis durch den die Benutzer-Identität und damit auch der
Benutzungsberechtigung gegenüber dem System nachgewiesen werden. Dazu dienen
hauptsächlich Passwörter, Passwortverfahren, persönliche ID-Nummern, kryptografische
Techniken sowie Magnet- oder Chip-Ausweiskarten. Eine strenge Authentifizierung kann mit
der Vergabe von Einmalpasswörtern (OTP) und OTP-Token erfolgen.
Darüber hinaus gibt es Authentisierungssysteme die mit biometrischen Daten arbeiten und
Mehrfaktorensysteme, die auf so genannte USB-Token setzen.
Sicherer als die einseitige Authentifizierung ist die gegenseitige, bei der alle
Kommunikationspartner ihre Identität beweisen müssen, bevor untereinander vertrauliche
Daten ausgetauscht werden. So sollte beispielsweise bei Geldautomaten dieser vor Eingabe
der PIN-Nummer beweisen, dass es sich bei dem POS-Terminal um ein echtes Geldterminal
handelt und nicht um eine Attrappe.
Authentizität
authenticity
Authentizität ist die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung. Nach
heutiger Rechtsauffassung ist die Authentizität nur dann sichergestellt, wenn die Mitteilung,
6
IT-Sicherheit
beispielsweise das Schriftstück, mit Original-Unterschrift versehen ist und zwar von
autorisierten Personen, die die schriftliche Willenserklärung abgeben dürfen. In einigen Fällen
schreibt das Gesetz zur Bestimmung der Authentizität notarielle Beglaubigung, Beurteilung
oder Beurkundung vor.
Bezogen auf die Informationstechnik geht es bei der Authentizität um die Verbindlichkeit von
Daten, Dokumenten, Informationen oder Nachrichten, die einer bestimmten
Datenendeinrichtung oder einem Sender sicher zugeordnet werden können. Durch die
Authentizität muss sichergestellt werden, dass die Herkunft solcher Information zweifelsfrei
nachgewiesen werden kann. Eine Möglichkeit für den Nachweis ist die digitale Signatur (DSig).
Autorisierung
authorization
Die Autorisierung ist eine Berechtigung, eine explizite Zulassung, die sich auf einen Benutzer
bezieht. Sie definiert, wer was in einem Netz was tun oder welche System-Ressourcen nutzen
darf. Bei der Autorisierung werden dem Nutzer Rechte zugewiesen. Sie berechtigen den
Benutzer eine bestimmte Aktion auszuüben. Um einen wirksamen Schutz zu erreiche, sollten
bei der Rechtevergabe der Nutzer nur für die Ressourcen autorisiert werden, die er unbedingt
benötigt.
Eine Autorisierung setzt eine Prüfung der ausführende Person oder Kommunikationseinrichtung
voraus. Erst nach der Ermächtigung kann die gewünschte Aktion oder Transaktion ausgeführt
werden. So wird beispielsweise eine Transaktion mittels einer Kreditkarte zuerst durch den
Kreditkartenherausgeber autorisiert, nach dem die Kartendaten überprüft wurden.
Backdoor
Backdoors sind unberechtigte Zugriffe auf Rechner und deren Datenbestände. Wie der Name
sagt, erfolgt der unberechtigte Zugriff durch die Hintertür. Der Angreifer erlangt über ein
verstecktes, ständig laufendes Programm häufig uneingeschränkte Zugriffsrechte. Im
7
IT-Sicherheit
Gegensatz zu Trojanern ermöglichen Backdoors einen direkten Zugriff auf den betroffenen
Rechner, spionieren interessante und persönliche Daten aus und ermöglichen die Manipulation
von Hard- und Software.
Backdoor werden häufig dazu benutzt um Viren, Würmer oder Trojaner auf dem angegriffenen
Rechner zu installieren oder diesen für unbefugte Operationen wie DDoS-Attacken zu
benutzen.
Bedrohung
threat
Ganz allgemein versteht man unter Bedrohung eine potentielle Gefahr, die durch eine
Schwachstelle ausgelöst wird. Es kann sich dabei um ein Ereignis handeln, das Schaden
verursacht, um einen Angriff auf ein System, eine Übertragungstrecke oder auf den
Informationsinhalt einer Nachricht, um Spionage oder Sabotage oder auch um Gefahren, die
unbeabsichtigt oder durch natürliche Ereignisse wie Stromausfall, absichtlich oder vorsätzlich
von Mitarbeitern ausgehen. Bedrohung kann von der Technik selbst ausgehen, durch
Fehlbedienungen oder Gewaltanwendung.
In der Informations- und Kommunikationstechnik kann sich die Bedrohung auf die
Verfügbarkeit von Systemen und Ressourcen beziehen oder ebenso auf die Integrität und
Vertraulichkeit von Nachrichten. Das Potential von Bedrohungen ist unermesslich, da es sich
gleichermaßen auf Systeme und Übertragungstechniken, auf Programme und Anwendungen
beziehen kann. Es gibt die aktive Bedrohung bei der Informationen oder der Systemstatus
verändert werden, oder die passive Bedrohung, deren Fokus sich auf das Ausspähen von
Informationen bezieht.
Mit der Bedrohungsanalyse werden alle möglichen Bedrohungsszenarien eines
Kommunikations- oder Informationssystems erkannt, analysiert und dokumentiert. Sie
8
IT-Sicherheit
bewertet die Wahrscheinlichkeit eines Angriffs und den möglichen, durch Angreifer
entstehenden Schaden. Die Bedrohungsanalyse ist Teil der Risikoanalyse und dem
Risikomanagement.
Broadcaststurm
Broadcaststürme entstehen dann, wenn in einer Netzkonfiguration viele Stationen gleichzeitig
broadcast storm
eine Antwort an die sendende Station senden. In der Regel hat die sendende Station einen
Broadcast gesendet, der gleichzeitig von vielen Stationen beantwortet wird, was mit ReBroadcasten bezeichnet werden kann. Da das Re-Broadcasten einer gewissen
Wahrscheinlichkeit unterliegt, hängt die Anzahl der beantworteten Broadcast von dieser ab.
Ist die Wahrscheinlichkeit gering, bekommen einige Knoten im Netzwerk keine Nachricht, ist
sie dagegen hoch, verhält sich das Antwortverhalten wie beim Flooding.
In der Regel handelt es sich bei Broadcaststürmen um Probleme in der Redundanz, der
Konkurrenzsituation und/oder von Kollisionen. So können beispielsweise topologische
Schleifen im Netzwerk Verursacher von Broadcaststürmen sein.
Broadcaststürme können einen erheblichen Schaden anrichten, da sie hinlänglich
Netzwerkressourcen binden und dadurch den eigentlichen Datenverkehr beeinträchtigen.
Brute-Force-Angriff
brute force attack
Ein Brute-Force-Angriff stellt einen gewaltsamen Angriff auf einen kryptografischen
Algorithmus dar. Das Verfahren probiert systematisch alle möglichen Kombinationen durch, um
den Krypto-Algorithmus zu knacken.
Brute-Force-Angriffe können ebenso auf verschlüsselte Dateien, Nachrichten und
Informationen oder auch auf Passwörter angesetzt werden.
Damit Brute-Force-Angriffe möglichst zeitintensiv sind, setzen die meisten
Verschlüsselungssysteme sehr lange Schlüssel ein. Bei einem 32-Bit-Schlüssel wären es vier
9
IT-Sicherheit
Milliarden Möglichkeiten, die die heutigen Personal Computer in Minuten durchprobiert hätten.
Entsprechend länger dauert die Ermittlung eines 48-Bit-Schlüssels oder gar eines 64-BitSchlüssels, der nur in mehreren tausend Jahren zu knacken wäre.
BS 7799
Der British Standard BS 7799 von 1995 führt die offizielle Bezeichnung „Code of Practise for
Information Security Management“ und bildet die Prüfungsgrundlage für die Sicherheit von ITSystemen. Der britische Standard bildet eine international anerkannte Norm für die Bewertung
der Sicherheit von IT-Umgebungen. Aus diesem Standard ist der internationale Standard ISO
17799 hervorgegangen, der als Referenzdokument für die Erstellung eines
Informationssicherheits-Managementsystems (ISMS) dient. Das Ziel dieser Norm ist die
Einführung eines Prozessansatzes, mit dem ein organisationsbezogenes ISMS entwickelt,
umgesetzt, überwacht und verbessert werden kann.
Bei den Zertifizierungen nach BS 7799 steht das gesamte IT-System auf dem Prüfstand und
wird auf vorhandenes Risikopotenzial hin untersucht; und nicht einzelne Anwendungen,
Subsysteme oder Dateien. Der Schutz sensibler Daten und wichtiger Geschäftsprozesse
stehen im Vordergrund.
Wichtige Aspekte des Standards sind die Definition, Spezifikation und Implementierung eines
Informationssicherheits-Managementsystems (ISMS), die Entwicklung organisationsbezogener
Normen und Praktiken hinsichtlich der Informationssicherheit sowie die Überwachung der
Einhaltung von Vereinbarungen an die Informationssicherheit. Der Standard besteht aus zehn
Kapiteln, die die Grundlagen für den praktischen Einsatz bilden:
Security Policy, Security Organization, Asset Classification and Control, Personal Security,
Physical and Environmental Security, Computer and Network Management, System Access
Control, System Development and Maintenance, Business Continuity and Disaster Recovery
10
IT-Sicherheit
Planning und Compliance.
ISO 17799, das das
Management von
Informationssicherheit
beschreibt, schafft die
Voraussetzungen für die
Zertifizierung eines ISMSSystems.
Der Standard BS 7799 besteht
aus zwei Teilen:
Teil 1: Leitfaden zum
Management von
Sicherheitskonzept
Informationssicherheit,
Teil 2 von 1999: Spezifikation
für Managementsysteme der
Informationssicherheit.
Im Jahre 2002 wurde der zweite
Teil an internationale Management-Standards und die OECD-Richtlinien angepasst. Damit
können Unternehmen einen Sicherheitsprozess etablieren, der den Sicherheitswert
systematisch auf einem zu definierenden Niveau verbessert.
Das von der ISO im Herbst 2005 herausgegebene Regelwerk ISO 2700x beinhaltet in der ISO
27001 die Aspekte von BS 7799 und löst dieses ab.
http://www.thewindow.to/bs7799/index.htm
11
IT-Sicherheit
BSI, Bundesamt für
Sicherheit in der
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde 1991 nach Inkrafttreten
des BSI-Errichtungsgesetzes gegründet. Der Aufgabenbereich des BSI liegt in der Entwicklung
Informationstechnik
und Förderung von Technologien für sichere Netze für die Informationstechnik.
Schwerpunkte der BSI-Aktivitäten sind der Schutz gegen Computer-Viren, die elektronische
Signatur, die Internetsicherheit, der IT-Grundschutz, die Überprüfung von
Sicherheitsarchitekturen und das E-Government. Verschiedenen Arbeitsgruppen befassen sich
mit der Fortentwicklung des E-Government, der Bereitstellung von Computer-Dienstleistungen
für Bundesbehörden sowie der Sicherheit des Internet. Das BSI erstellt Dokumente für die
genannten Schwerpunkte, die über das Internet abgerufen werden können.
http://www.bsi.de
CC, common criteria
„Common Criteria for Information
Technology Security Evaluation“ (CC) ist
die Weiterentwicklung von ITSEC, der
TCSEC der USA und der kanadischen
CTCPEC. Es handelt sich um weltweit
anerkannte Sicherheitsstandards für die
Bewertung und Zertifizierung
informationstechnischer Systeme.
Die Common-Criteria-Zertifizierung wurde
Entwicklung der Common Criteria (CC)
1998 von den Regierungsstellen in den
USA, Kanada, Deutschland, Großbritannien
und Frankreich begründet und bereits von
mehreren anderen Ländern übernommen.
12
IT-Sicherheit
Dabei hat das Bundesamt
für Sicherheit in der
Informationstechnik (BSI)
bei der Entwicklung der
Common Criteria eine
aktive Rolle übernommen.
Die Common Criteria
wurden von der NIST
veröffentlicht und sind
Sicherheitslevels nach ITSEC und Common Criteria (CC)
international von der ISO
standardisiert. Der Standard ISO 15408 beschreibt die Bewertung der Sicherheitsfunktionen
von IT-Produkten.
In den Common Criterias werden der Geltungsbereich für die sicherheitsrelevante Evaluierung
beschrieben, darüber hinaus die funktionalen Anforderungen in Zusammenhang mit der
Bedrohung und den Sicherheitszielen und die Anforderungen an die Vertrauenswürdigkeit.
Die Klassifizierung der IT-Sicherheitsprüfung im Rahmen der Common Criteria erfolgt in sieben
so genannten EAL-Stufen, die auch als Schutzprofile bezeichnet werden. Diese reichen von
EAL1 für unzureichendes Vertrauen bis hin zu EAL7 für den formal verifizierten Entwurf und
Test des IT-Equipments.
http://www.bsi.bund.de/cc/
Compliance
Der Begriff Compliance umschreibt ein regelkonformes Verhalten eines Unternehmens in
Bezug auf die gesetzlichen und regulativen Bestimmungen. Die Compliance soll sicherstellen,
dass die unternehmerischen Risiken erkannt, bewertet und durch die Implementierung
13
IT-Sicherheit
technischer Lösungen erfüllt werden.
Die Rechtskonformität betrifft in gleichem Maße die handelsrechtliche und steuerrechtliche
Dokumentation von Vorgängen, aber ebenso sicherheitsrelevante Lösungen der elektronischen
Kommunikation und vor allem der Archivierung. Einschlägige Richtlinien für
sicherheitstechnische Konformität finden sich in dem British Standard BS 7799, dem ITGrundschutzhandbuch des deutschen Bundesamtes für Sicherheit in der Informationstechnik
(BSI GsHb), in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
(GDPdU) und in den Grundsätzen für ordnungsgemäße DV-gestützte Buchführungssysteme
(GoBS).
An weiteren Richtlinien und Gesetzen, die unternehmensspezifische Aspekte berücksichtigen,
sind Basel II zu nennen, in denen die Eigenkapitalvorschriften festgelegt sind, die
International Financial Reporting Standards (IFRS) für die Rechnungslegungen, das Gesetz zur
Kontrolle und Transparenz im Unternehmensbereich (KonTraG) mit der die Corporate
Governance in deutschen Unternehmen verbessert werden soll und den Sarbanes-Oxley-Act,
der bei international tätigen Unternehmen die Bilanztransparenz erhöht.
Content-Sicherheit
content security
Die Content-Security befasst sich mit dem Schutz der Informationen vor allen bekannten
Viren, Würmern und Trojanern, sowie mit der Erkennung von neuen Gefahren und die
Verhinderung von Spams. Zur Content-Security gehören Sicherheitslösungen für die Abwehr
von Hackerangriffen, die über Sicherheitslücken in Netzwerken und Anwendungen Schaden
anrichten.
Bei der Content-Security werden die Daten hinsichtlich ihrer Integrität geprüft; des Weiteren
wird geprüft ob sie verschlüsselt gesendet, empfangen und genutzt werden dürfen. Diese
Sicherheitsprüfungen erfolgen nach einem festgelegten Regelwerk, den Policies, mit dem
14
IT-Sicherheit
organisatorische und personenspezifische Kenndaten überprüft werden.
Die Maßnahmen für die Content-Security reichen von Anti-Virus-Programmen mit denen der
Web-Verkehr und alle E-Mails gescannt werden, über die Abwehr von Hackerangriffen bis hin
zu nachgeschalteten Anti-Spam-Filtern, Web-Filtern und E-Mail-Filtern. Wobei die WebFilterung unerwünschte Webseiten ausfiltert und die E-Mail-Filterung die E-Mails
inhaltsabhängig nach Text- und Anhängen durchsucht und entsprechend ausfiltert.
Cracker
Ein Cracker ist eine Person, die unberechtigt in ein Computersystem eindringt. Ziel der Cracker
- der Begriff wird oft synonym mit Hacker verwendet - ist es, die Sicherheitssysteme zu
knacken und die gewonnenen vertraulichen Daten nicht zum wirtschaftlichen oder sozialen
Nachteil für das betroffene Unternehmen oder die betroffene Institution auszunutzen.
Cracker verursachen häufig Schäden an den Systemen, im Gegensatz zu Hackern, die meistens
nur ihre spezifische Visitenkarte hinterlassen.
Im deutschen Sprachgebrauch versteht man unter einem Cracker eine Person die den
Kopierschutz von Systemen knackt.
CRAMM, computer risk
analysis and
management method
CRAMM ist ein bereits 1987 vorgestelltes Software-Paket für das wissensbasierte
Risikomanagement, das dem britischen Sicherheitsstandard BS 7799 entspricht und nach ISO
17799 zertifiziert ist.
CRAMM basiert auf einer toolgestützten Struktur mit der Geschäftsprozesse modelliert und
Schwachstellen in IT- und Kommunikationssystemen bewertet werden können. Darüber hinaus
kann CRAMM Sicherheitsvorschläge unterbreiten, Notversorgungsmaßnahmen planen, ISMS
generieren und zu schützende Objekte identifizieren. Mit dem Ergebnis, das als Report
ausgegeben werden kann, kann das Management Schwachstellen und Risiken in den IT15
IT-Sicherheit
gestützten Geschäftsprozessen, in Software und Hardware, Netzwerken, Personal, Gebäude
u.a. erfassen, bewerten und beseitigen.
Crasher
Die Begriffe Hacker, Cracker und Crasher haben unterschiedliche Bedeutung. Bei einem
Crasher handelt es sich um jemanden, der Vandalismus in Computersystemen ausübt, diese
zum Absturz bringt und vorsätzlich Schaden anrichtet.
Datensicherheit
data security
Unter Datensicherheit sind gesetzliche Regelungen und technische Maßnahmen zu verstehen,
durch die die unberechtigte Speicherung, Verarbeitung und Weitergabe schutzwürdiger Daten
verhindert werden soll. Ziel ist es, die Persönlichkeitsrechte des Menschen vor den Folgen der
Erfassung seiner Individualdaten bei der manuellen und automatischen Datenverarbeitung zu
schützen. Innerhalb eines Betriebs gehören dazu personelle, organisatorische und
revisionstechnische Regelungen, außerdem geräte- und programmtechnische
Schutzmechanismen.
Datenschutz, Datenintegrität und Datensicherung bilden die verlässliche
Informationsverarbeitung.
In Deutschland ist der Datenschutz durch das „Gesetz zum Schutz vor Missbrauch
personenbezogener Daten bei der Datenverarbeitung“ vom 27.1.1977 im
Bundesdatenschutzgesetz (BDSG) verankert. Gewerbliche oder staatliche Computeranwender
mit schutzbedürftigen Daten müssen Datenschutzbeauftragte einsetzen.
Darüber hinaus gibt es in Deutschland das Bundesgesetz über den Datenschutzgesetz vom
19.06.1992. Es lautet: „Wer personenbezogene Daten für sich selbst oder im Auftrag für
andere elektronisch bearbeitet, muss durch geeignete Maßnahmen den Verlust und den
Missbrauch dieser Daten verhindern“.
16
IT-Sicherheit
DoS, denial of service
DoS-Attacke
Denial of Service (DoS) sind Attacken im Internet zur Beeinträchtigung von Webservices, die
damit außer Betrieb gesetzt werden. Diese Angriffe können durch Überlastung von Servern
ausgelöst werden, so beispielsweise mittels der Bombardierung eines Mail-Servers mit einer
so großen Anzahl von Mails, dass dieser seine Funktion wegen Überlast nicht mehr ausüben
kann, oder durch die Überflutung eines Netzwerks mit Datenpaketen.
DoS-Attacken zielen in der Regel nicht auf den Zugang zum Netzwerk, System oder zu den
Datenbeständen ab, sondern haben das Ziel einen Dienst einzuschränken, zu blockieren oder
unbenutzbar zu machen. Dazu werden die zur Verfügung stehenden Programme oder
Netzwerk-Ressourcen außerordentlich überbelastet.
Ein DoS-Angriff kann durch IP-Spoofing vorbereitet werden. Der Angreifer nutzt dazu eine
autorisierte IP-Adresse und gelangt so in das System oder das Netzwerk, um dann seine DoSAttacke auszuführen.
Neben dem Mail-Bombing, gibt es noch das SYN-Flooding, das Ping-Flooding und die DDoSAttacken.
Die Evaluation Assurance Level
(EAL) kennzeichnen die
Vertrauenswürdigkeit in eine
EAL, evaluation
assurance level
Sicherheitsleistung. Im
Rahmen der Common Criteria
(CC) werden sie für die
Bestimmung der
Sicherheitsprüfungen
Sicherheitslevels nach ITSEC und Common Criteria (CC)
verwendet.
17
IT-Sicherheit
Es gibt sieben EAL-Stufen, die mit den Ziffern 1 bis 7 gekennzeichnet sind und mit steigender
Ziffer einen höheren Sicherheitsstandard repräsentieren. So bietet die EAL-Stufe EAL1 einen
einfachen Funktionalitätstest, der ein unzureichendes Vertrauen in die IT-Sicherheitsprüfungen
darstellt; EAL7 bietet als höchster Sicherheitstandard eine formal logische Verifizierung.
Anhand der EAL-Stufen ist eine Vergleichbarkeit der Sicherheitsfunktionalitäten von
Programmen und Systemen gegeben. Allerdings sind bei der Bewertung der
Sicherheitsleistungen die Schwachstellen, über die Eindringlinge in das oder Attacken auf das
System ausgeführt werden können, zu analysieren.
Flaming
Flaming ist ein Internet-Jargon für eine bösartige, oft persönliche oder gar beleidigende
Angriffe auf den Verfasser eines Artikels in einer Newsgroup, in Diskussionsforen oder auch
beim Schreiben von E-Mails. Flaming sind verbale Auswüchse, die gegen die Netiquette
verstoßen und unterbleiben sollten.
Hacker
Unter Hacker versteht man Personen, die sich über öffentliche Netze oder IP-Netze
unberechtigten Zugang zu anderen Systemen verschaffen und versuchen auf den
Datenbestand in fremden Systemen zuzugreifen. Der unberechtigte Zugang erfolgt in der
Regel unter Umgehung der Sicherheitssysteme.
Das Eindringen kann bei der Datenübertragung, auf den Leitungen, den
Übertragungskomponenten oder Protokollen stattfinden.
Als Gegenmaßnahmen gegen Hacker empfehlen sich u.a. das regelmäßige Auswechseln von
Passwörtern, die Beseitigung von Schwachstellen im System, das Abschalten von nicht
genutzten Systemdiensten, das Callback als Kommunikationsroutine, die Überwachung von
Service-Eingängen und der Einsatz von IDS-Systemen.
18
IT-Sicherheit
Heuristik
heuristics
Heuristik ist die Lehre von Methoden zum Auffinden neuer Erkenntnisse. Heuristische
Verfahren werden beispielsweise beim Aufspüren neuer Viren angewendet und zwar
vorwiegend in dem Zeitraum, in dem noch kein neues Update für die Virenscanner entwickelt
wurde. Um zu verhindern, dass in dem Zeitraum in dem die Hersteller die Updates für neue
Viren entwickeln, der Schaden durch ein neues Virus möglichst gering gehalten wird, werden
die Schädlinge mittels heuristischer Verfahren abgefangen. Hierbei suchen die Virenscanner
nach verdächtigen Codes, der beispielsweise die Festplatte formatiert oder unerwartete
Online-Verbindungen aufbaut. Das Erkennen solcher Phänomene wird vom Virenscanner
angezeigt.
Hijacking
Das englische Wort Hijacking steht für Entführung. Es wird in IP-Netzen für Angreifer benutzt,
in denen der Angreifer eine Domain oder eine aktive IP-Sitzung übernimmt. Der Angreifer
schlüpft dabei nach der Autorisierung des Nutzers in dessen Rolle und übernimmt die IPVerbindung. Beim UDP-Prokoll ist das Vorgehen besonders einfach, da es nicht
verbindungsorientiert arbeitet. Anders ist es beim TCP-Protokoll, bei dem der Angreifer die
Sequenznummer erraten muss.
Ziel des Hijacking ist es, sich fremde Informationen und Datenbestände anzueignen. Daher
kann das Hijacking auf den Content ausgerichtet sein, dann handelt es sich um ContentHijacking, aber auch auf Domains, man spricht dann von Domain-Hijacking. Beim ContentHijacking geht es um fremde Inhalte, an denen der Angreifer interessiert ist und die er sich
aneignen möchte. Ein solcher Content-Angriff auf eine Domain kann beispielsweise dazu
dienen den PageRank von der Website, von der der Content entnommen wurde, zu
verschlechtern und gleichzeitig den eigenen zu erhöhen.
Beim Domain-Hijacking geht es um registrierte, aber bereits gelöschte Websites. Diese sind
19
IT-Sicherheit
dann von besonderem Interesse, wenn viele Hyperlinks auf diese Website hinweisen und
diese einen höheren PageRank besitzen. Der Angreifer bestückt die besetzte Domain mit
eigenen Inhalten und profitiert von dem vorhandenen PageRank.
Hoax
Hoaxes sind elektronische Falschmeldungen, die bewusst durch Dritte über E-Mails verbreitet
werden. Die Hoaxes enthalten Text, der in die Irre führen soll wie eine Zeitungsente oder ein
Aprilscherz, richten aber keinen direkten Schaden an. Um eine weite Verbreitung zu finden,
werden sie als Kettenbrief gehandhabt.
Eine Hoax kann alle Themenbereiche tangieren, die Warnung vor einem Virus, Unternehmensund Börsennachrichten, den Umweltschutz, das Wetter bis hin zu weiteren Warnhinweisen. Sie
verbreiten sich extrem schnell und werden von Virenscannern nicht erkannt. In Hoaxes finden
sich in der Regel Aufrufe, diese auch an Bekannte und Kollegen weiterzuleiten.
Identifikation
identification
Die Identifikation ist die Überprüfung einer Person oder eines Objektes in Bezug auf
vorgelegte, eindeutig kennzeichnende Merkmale, die Identität. Diese Identität kann anhand
von eindeutigen Merkmalen, die denen eines Ausweises entsprechen, überprüft werden. Oder
auch mittels Passwörtern und gespeicherten Referenzpasswörtern.
Für die Identifizierung gibt es verschiedene Medien und Verfahren; u.a. Chipkarten,
Magnetkarten, Smartkarten und biometrische Verfahren. Darüber hinaus werden in der
Warenwirtschaft Strichcodes, 2D-Codes und RFID für die eindeutige Warenkennzeichnung
eingesetzt.
Bei der biometrischen Identifikation werden individuelle, körperspezifische Merkmale wie der
Fingerabdruck, das Gesichtsfeld oder die Iris für die Identifikation genutzt.
20
IT-Sicherheit
Identität
identity
Eine Identität ist der eindeutige Identifikator für eine Person, Organisation, Ressource oder
einen Service zusammen mit optionaler zusätzlicher Information (z.B. Berechtigungen,
Attributen). Die Identität umfasst eindeutig kennzeichnende Merkmale.
Es gibt verschiedene Techniken zur eindeutigen Identitätskennzeichnung wie die ID-Nummer
oder der elektronische Schlüssel, der die Identität eines Benutzers sicherstellt, und diverse
Verfahren zur Prüfung und Feststellung der Identität.
Informationssicherheit
information security
Informationssicherheit ist der Präventivschutz für Persönlichkeits- und UnternehmensInformationen und ist auf
kritische Geschäftsprozesse
fokussiert. Ein solcher
Schutz bezieht sich
gleichermaßen auf Personen,
Unternehmen, Systeme und
Prozesse und wird durch
Integrität, Verfügbarkeit,
Vertraulichkeit,
Verbindlichkeit,
Nachweisbarkeit und
Authentizität erzielt. Die
Informationssicherheit soll
den Verlust, die
Manipulation, den
Schwachstellen in der Informationssicherheit
unberechtigten Zugriff und
21
IT-Sicherheit
die Verfälschung von Daten verhindern.
Die Basis für die Informationssicherheit kann durch konzeptionelle, organisatorische und
operative Maßnahmen erreicht werden. Dazu gehört die Umsetzung von sicherheitsrelevanten
Grundsätzen eines Unternehmens, die so genannte Informationssicherheitspolitik. In dieser
sind die Ziele des Unternehmens und die Realisierung festgelegt.
Ein wichtiger Ansatz für die Sicherheit von Informationssystemen ist der British Standard BS
7799 sowie der ISO-Standard 17799 als Implementierungsleitfaden. Diese beiden
Sicherheitsstandards werden in der Security-Norm ISO 27001 berücksichtigt.
Internetsicherheit
Internet security
Als weltweit größter Netzverbund bietet das Internet Angreifern hinreichende Möglichkeiten,
sich unberechtigten Zugriff auf Datenbestände und Ressourcen zu verschaffen, Datenbestände
und übertragene
Daten zu
manipulieren und zu
sabotieren. Die
technischen
Möglichkeiten für das
unberechtigte
Eindringen in fremde
Datenbestände
Übertragungsstrecke mit Web-Shield
reichen vom Abhören
von Passwörtern,
über das IP-Spoofing,
bei dem sich der
22
IT-Sicherheit
Eindringling einer gefälschten IP-Adresse bedient, über das IP-Hijacking, bei dem der
Angreifer eine bestehende IP-Verbindung übernimmt, den Replay-Angriff, bei dem der
Angreifer gezielt vorher gesammelte Informationen einsetzt, um dadurch fehlerhafte
Transaktionen auszuführen, über das SYN-Flooding, einem gezielten Angriff auf den Server, um
diesen durch Überlast von seinen eigentlichen Aufgaben abzulenken, bis hin zum Man-in-theMiddle-Angriff, einer Attacke, bei der die Kommunikation zwischen zwei Partnern abgefangen
und manipuliert wird.
Wirkungsvolle Maßnahmen gegen diese Bedrohungen der Internetsicherheit bieten so
genannte Web-Shields, die als Application Layer Gateway (ALG), auch bekannt als Web
Application Firewall (WAF), agieren. Im Gegensatz zu klassischen Firewalls und IDS-Systemen
untersuchen die genannten Systeme die Kommunikation auf der Anwendungsebene.
ISMS, information
security management
system
Ein Informationssicherheits-Managementsystem (ISMS), das nach der Normenreihe ISO 2700x
zertifiziert wird, erfüllt die Voraussetzungen für ein qualifiziertes Sicherheitsmanagement. Ein
solches ISMS-System, bestehend aus Richtlinien, Maßnahmen und Tools, beherrscht
spezifische IT-Risiken und garantiert die geforderte IT-Sicherheit.
Ein ISMS-System mit einem Prozess-orientierten Ansatz bildet die Grundlage für das
Unternehmen und dessen Positionierung hinsichtlich der Informationssicherheit. In einem
solchen Ansatz sollten die Bedeutung, die Anforderungen und die Ziele der
Informationssicherheit festgelegt sein. Des Weiteren sollte die Effektivität des ISMS
kontrolliert und das System ständig nachvollziehbar verbessert werden. Bei diesem Prozessorientierten Ansatz kann jede Aktivität, die Ressourcen nutzt, als Prozess betrachtet werden.
Wobei jeder Prozess den Input für den folgenden Prozess bilden kann.
Ein ISMS-System muss in allen Hierarchieebenen eines Unternehmens implementiert sein und
23
IT-Sicherheit
von Verantwortlichen betreut werden. In der Implementierung eines solchen Systems spiegelt
sich die Organisation mit ihren unternehmerischen Anforderungen wider. Die Normenreihe ISO
2700x behandelt die Thematik ISMS, dabei geht die Norm ISO 27001 auf die
Zertifizierungsanforderungen ein und ISO 27003 gibt Anleitungen für die Entwicklung und die
Implementierung eines Information Security Management Systems (ISMS).
ISO 17799
Der im Jahre 2000 verabschiedete internationale Standard ISO 17799 für die IT-Sicherheit ist
aus dem British Standard BS 7799 hervorgegangen. Der Standard mit dem Titel „Code of
Practice for Information Security Management“ bietet eine Auswahl an Kontrollmechanismen,
die auf Methoden und Verfahren basieren, die sich in
der IT-Sicherheit bewährt haben. In dem Standard
werden keine konkreten Sicherheitslösungen
empfohlen; allerdings sollten Unternehmen und
Organisationen aller Branchen die im Standard
aufgeführten Richtlinien beachten und umsetzen.
Die ISO hat mit ISO 17799 ein formelles
Anerkennungs- und Zertifizierungsverfahren für die
Einhaltung der Standards eingeführt, wodurch sich die
allgemeine Qualität des Standards verbessert hat.
Dieser Standard, der den ersten Teil von BS 7799
Vom BS 7799 über die ISO 17799
zur ISO 27002
umfasst, ist weltweit akzeptiert. Im Jahre 2005 wurde
ISO 17799 überarbeitet und in der neuen Fassung
unter der Normenreihe ISO 2700x als ISO 27002
veröffentlicht.
24
IT-Sicherheit
ISO 17799 ist eine Sammlung von Empfehlungen, die für die IT-Sicherheit und das Business
Continuity Management (BCM) angewendet werden. Diese Richtlinien haben sich in der Praxis
bewährt können in allen Hierarchieebenen von Unternehmen, Institutionen und
Organisationen eingesetzt werden. Da die Vielfalt der Sicherheitsaspekte von der
Systemumgebung und der Unternehmensorganisation geprägt ist, ist ISO 17799 ein flexibler
Standard, der eigene Interpretationen zulässt.
IT-Sicherheit
IT security
Die IT-Sicherheit tangiert alle
technischen Maßnahmen zur
Verringerung des
Gefährdungspotenzials für ITAnwendungen und -Systeme.
Alle mit dem
Gefährdungspotenzial in
Zusammenhang stehenden
Schutzmaßnahmen, wie die
Entwicklung von
Sicherheitskonzepten, die
Vergabe von
Zugriffsberechtigungen und die
Sicherheitskonzept
Implementierung von
Sicherheitsstandards, sind
Aspekte der IT-Sicherheit. ITSicherheit ist die technische
25
IT-Sicherheit
Umsetzung der Sicherheitskonzepte unter wirtschaftlichen Aspekten.
Die IT-Sicherheit umfasst alle gefährdeten und daher schützenswerten Einrichtungen, Systeme
und Personen. Dazu gehören u.a. Gebäude, Netze, Hardware und Software sowie die an den
Systemen Arbeitenden. Ziel der IT-Sicherheit ist es, die Verfügbarkeit von Systemen und
Daten sicherzustellen, die Vertraulichkeit zu gewährleisten, damit weder Unbefugte auf
Dateien zugreifen können und die Dateien auch bei der Übertragung weiterhin vertraulich
bleiben, die Sicherstellung der Authentizität und der Integrität der Daten.
Für die physikalische IT-Sicherheit gibt es mehrere nationale und europäische Standards, so
die Definition der Brandabschnitte nach DIN 4102 oder die in den EN-1047-Standards
spezifizierten Belastungsgrenzen für Daten und Systeme. Darüber hinaus gibt es Richtlinien
und Güteklassen für den Einbruchschutz mit der Beschreibung des Mauerwerks.
Die Information Technology Security
ITSEC, information
technology security
evaluation criteria
Evaluation Criteria (ITSEC) sind
europäische Sicherheitsstandards, die
der Bewertung und Zertifizierung der
Sicherheit von IT-Systemen dienen. Es
handelt sich um eine technisch
orientierte, produktbezogene
Sicherheitsrichtlinie.
Entwicklung der ITSEC
ITSEC ist aus verschiedenen
europäischen Sicherheitsrichtlinien, den
UK Confidence Levels, German Criteria,
French Criteria und dem US Orange
26
IT-Sicherheit
Book TCSEC hervorgegangen.
Die Kriterien sind in einem Katalog zusammengefasst und sind nur für den europäischen Raum
gültig.
Das Vertrauen in die Sicherheitsstufen von ITSEC ist in sogenannte Evolutionsstufen
gegliedert. Es gibt die Stufen E0, was ein unzureichendes Vertrauen widerspiegelt, bis E6 für
höchstes Vertrauen. Je höher die Evolutionsstufe, desto fachkundiger sind die Eindringlinge.
Die Evaluierung beinhaltet die Prüfung und Bewertung der Sicherheitseigenschaften eines ITProdukts nach den festgelegten Sicherheitskriterien.
Die Weiterentwicklung des ITSEC sind die Common Criteria for Information Technology
Security Evaluation.
Die ITSEC, die 1991 von der EU-Kommission verabschiedet wurde und vom Bundesamt für
Sicherheit in der Informationstechnik (BSI) angewendet wird, ist das europäische Gegenstück
zur amerikanischen TCSEC. Aus beiden wurden die Common Criteria (CC) entwickelt.
Makrovirus
macro virus
Makroviren werden im Gegensatz zu normalen Viren in einer Makrosprache erstellt und
befallen im Gegensatz zu diesen Dokumente der jeweiligen Host-Anwendung. Da Makros
wiederkehrende Tastatureingaben und Programmabläufe automatisieren helfen, können
Computerviren über Makroprogramme erstellt und reproduziert werden.
Makroviren sind in Dokumenten eingelagert und werden bei Aufruf und Weitergabe der Dateien
verteilt. Durch diese einfache Verbreitung können Makroviren enorme Schäden verursachen,
beispielsweise durch Veränderung der Zahlen in einer Tabellenkalkulation.
Malware
Unter den Oberbegriff Malware fallen alle unerwünschten Software-Aktivitäten, die die ITSicherheit oder die Funktionsfähigkeit von Computern und Systemen beeinträchtigt. Dazu
27
IT-Sicherheit
zählen im Einzelnen Viren, Trojaner und Würmer, Flooding und DoS-Attacken, Spyware,
Spams, Hoaxes usw. Bei Malware handelt es sich immer um Aktivitäten, die vom Benutzer
nicht erwünscht sind.
Die technischen Verfahren mit denen die Malware-Aggressoren ihre Opfer ausspähen sind auf
einem hohen technischen Niveau. Gängige Antiviren- und Anti-Malware-Programme sind auf
nicht in der Lage die Angriffe zu erkennen oder aufzuspüren. Wenn die Malware-Angriffe ihre
Aufgaben erfüllt und Konstruktionspläne, Kontennummern oder andere Informationen
ausgespäht haben, verwischen die Programme ihre eigenen Spuren. Häufig kann der
entstandene Schaden und das Eindringen erst dann rekonstruiert werden, wenn der
Privatmann oder das Unternehmen bereits geschädigt wurde.
Man-in-the-Middle-
Man-in-the-Middle ist ein Angriff auf den Kommunikationskanal zwischen zwei Partnern. Der
Angriff
man-in-the-middle attack
Angreifer versucht dabei den Kommunikationskanal unter seine Kontrolle zu bringen, und zwar
in der Art und Weise, dass die Kommunikationspartner nicht feststellen können ob sie
miteinander oder mit dem Angreifer kommunizieren.
Man-in-the-Middle-Angriffe können dann erfolgreich sein, wenn für die Verschlüsselung PublicKey-Verfahren ohne signierte Zertifikate benutzt werden, wie beispielsweise bei HTTPS.
Abhilfe gegen Man-in-the-Middle-Angriffe schafft nur eine eindeutige Identifikation der
Teilnehmer, ohne dem Angreifer die Identifikation preiszugeben.
Netzwerksicherheit
network security
Die Netzwerksicherheit ist eine Symbiose aus Richtlinien und Vorschriften, aus Produkten und
Diensten. Sie tangiert alle Unternehmensebenen, vom Benutzer über den Administrator bis
hin zur Unternehmensführung. Es ist ein Maßnahmenkatalog in Form einer Security Policy, die
dafür sorgen muss, dass die Zugriffsberechtigung, Autorisierung, Identifikation und
28
IT-Sicherheit
Authentifizierung verwaltet werden, dass jede Attacke, jeder unerlaubte Zugriff, jede Art der
Sabotage, der Manipulation, des Missbrauchs und der Beeinflussung der Datenbestände und
Ressourcen verhindert oder unmittelbar erkannt wird und dass das Einschleusen von Viren,
Würmern oder Trojanern, DoS-Attacken oder IP-Spoofing nicht möglich ist.
Ausgehend von einem solchen Maßnahmenkatalog können technische Lösungen implementiert
werden.
An netzwerkumfassenden Konzepten gibt es Network Access Control (NAC) von Cisco und
anderen Unternehmen, Network Access Protection (NAP) von Microsoft und Trusted Network
Connect (TNC) von der Trusting Computing Group.
Perimeter-Sicherheit
perimeter security
Perimeter-Sicherheit betrifft die Sicherheit am Übergang zwischen dem Unternehmensnetz und
dem Internet. Für die Perimeter-Sicherheit sind bestimmte Richtlinien definiert, die die ITTechnik des Unternehmens gegen das Gefahrenpotential schützen, das durch Viren, Würmer
und Hacker verursacht wird. Zu den in den Richtlinien genannten Möglichkeiten gehören
Firewalls, Virenscanner und Anti-Viren-Software sowie Web-Filtertechniken.
Phishing
Mit der Wortschöpfung Phishing, das sich aus Passwort und Fishing zusammensetzt, ist
ebenso wie das Pharming eine Technik, bei der der Angreifer versucht, die persönliche
Identifikations-Nummer (PIN) und die Transaktionsnummer (TAN) von Bankkunden über das
Internet abzufragen und damit Finanztransaktionen durchzuführen.
Die Angreifer, die Phisher, fragen über gefälschte Bank-Homepages die vertraulichen Daten ab.
Zu diesem Zweck wird eine nachgemachte Homepage eines Geldinstituts ins Internet gestellt.
Nach dem Zufallsprinzip werden E-Mails mit einem Link auf die gefälschte Hompage versandt.
In diesen E-Mails werden Sicherheitsaspekte oder bankrelevante Themen behandelt mit dem
29
IT-Sicherheit
Hinweis auf die angebliche
Homepage. Die in die
nachgebildeten Hompages
eingetragenen persönliche
Identifikationsnummern
und Transaktionsnummern
werden ausgefiltert und
stehen den Angreifern
unmittelbar für
unberechtigte
Finanztransaktionen auf
der richtigen Homepage zur
Verfügung.
Da das Phishing wegen
Beispiel, in der die Postbank auf gefälschte Home-Pages zum Zwecke des
dessen Vorgehensweise
Phishings hinweist
nicht mehr den erhofften
Erfolg zeitigt, wurde es verfeinert zum Spear-Phishing. Bei dieser Methode werden die Opfer
ganz gezielt angegangen in dem sich die Phisher als alte Bekannte ausgeben und dazu
harmlose Informationen aus Social Networks benutzen. Das darüber aufgebaute Vertrauen
nutzen die Phisher um über Formulare einen Link anzuklicken über den eine Ominöse Software
geladen wird.
Phreaking
Das Phreaking ist eine ältere Methode zu Umgehung von Telefonkosten, die ursächlich mit den
Vermittlungstechniken in Telefonnetzen und dort im Besonderen mit der Signalisierung
30
IT-Sicherheit
zusammenhängt. Die Kreativität der Phreaker, das sind Diejenigen die das Phreaking
beherrschen, hat sich nicht nur auf das Nachbilden von Signalisierungssequenzen beschränkt.
Phreaker analysieren und modifizieren die Schwachstellen der verschiedenen Einwahltechniken
und Bezahlformen, einschließlich der Telefonkarten oder Callingcards, und setzen die
Erkenntnisse konsequent zum eigenen kostenlosen Telefonieren ein.
Was die Signalisierung betrifft, so arbeiten Fernmeldenetze in den USA, in Kanada, Australien
und China mit der älteren C5-Signalisierung, die als Innenband-Signalisierung mit Zweitonund Mehrtonverfahren im Sprachkanal arbeitet, also keinen unabhängigen Signalisierungskanal
benutzt, wie beispielsweise das Signalisierungssystem Nr. 7 (CCS7). Die Steuersignale und sequenzen der C5-Signalisierung können somit direkt aus dem Sprachkanal ausgefiltert und
für eigene Zwecke missbraucht werden. Da die Betreibergesellschaften die Steuersequenzen
wegen des Phreaking ändern, arbeiten die Phreaker mit Frequenzscannern, die die Frequenzen
automatisch scannen, die Sequenzen aufzeichnen und das Ganze noch in einen Softwaredialer
einbringen. Über das Monitoring der Carrier können Phreaker mittels Fangschaltung erfasst
werden.
Das Phreaking, das besonders bei internationalen Verbindungen interessant ist, ist ein
globales Problem. National ist das Phreaking, bedingt durch die verwendete AußenbandSignalisierung schwierig.
PnP-Sicherheit
Plug-and-Play (PnP) ist ein Schnittstellenkonzept für das konfliktfreie Anschließen von
plug and play security
Peripheriegeräten an einen Personal Computer. Das schnelle Erkennen der angeschlossenen
Peripheriegeräte bietet aber nicht nur Vorteile, sondern auch diverse Risiken, da durch
unberechtigten Zugriff wichtige Daten aus den Personal Computern (PC) kopiert, ebenso aber
auch Daten, Viren und Trojaner über die Plug-and-Play-Schnittstelle in das Firmennetz
31
IT-Sicherheit
eingespeist werden können. In diesem Zusammenhang darf die Entwicklung der Mobilspeicher
wie dem USB-Stick nicht außer Acht gelassen werden. Dieses Risiko wird durch drahtlose
Schnittstellen wie Wireless-USB noch erhöht, da der Anwender häufig nicht erkennen kann,
wer mit seinem Computer gerade kommuniziert. Die Betriebssysteme bieten keine Möglichkeit
der Schnittstellenkontrolle.
Sicherheitsaspekte von Schnittstellen ist daher ein Thema der Netzwerk- und IT-Sicherheit.
Bei der Absicherung der Schnittstellen kommt es auf die konsequente Umsetzung der
Sicherheitsregeln an. Diese Umsetzung kann durch Sicherheitsmodule vorgenommen werden,
die die Nutzung der PnP-Geräte überwachen. Die Echtzeitüberwachung von Schnittstellen und
Peripheriegeräten ist ein Punkt bei der Lösung der Schnittstellen-Sicherheitsproblematik, die
automatische Geräteerkennung und schnelle Freigabe ein weiterer. Die PnP-Geräte, die eine
Zugangsberechtigung haben, werden zentral oder direkt am Arbeitsplatz über Fernzugriff
registriert. Die Einstellungen können entweder direkt im Active Directory von Windows oder im
NetWare Directory Service (NDS) zentral verwaltet werden.
Risiko
Unter Risiko versteht man die Wahrscheinlichkeit für den Eintritt eines Schadensfalles. Ein
risk
solches Schadensereignis kann in der IT-Technik durch bestimmte Schwachstellen in den
Systemen, Komponenten, Kommunikationsnetzen oder Software auftreten, die zufällig oder
vorsätzlich ausgenutzt werden. Das bedeutet, dass die Sicherheit der Systeme unmittelbar
von dem Risiko abhängig ist: Je höher das Risiko, desto geringer ist die vorhandene Sicherheit
und umgekehrt. Das Risiko beginnt da, wo die Sicherheit aufhört. Je höher die Sicherheit
veranschlagt wird, desto geringer ist das Risiko.
Werden die risikobehafteten Schwachstellen durch methodische Verfahren ermittelt, spricht
man von Risikoanalyse. Bei einer solchen Analyse werden technische und menschliche
32
IT-Sicherheit
Schwachstellen erforscht, damit die Häufigkeit und die Länge der Schadensfälle eingeschränkt
und reduziert werden kann. Die Ergebnisse der Risikoanalyse fließen in das
Risikomanagement ein.
Risiken lassen sich klassifizieren nach den Objekten, den Aktivitäten, den Urhebern und der
Ursache, nach der Häufigkeit und der Schadenshöhe.
Risikoanalyse
risk analysis
Die Risikoanalyse arbeitet mit methodischen Verfahren und beschäftigt sich mit der Erkennung
und Bewertung von Gefahren und
Bedrohungen, denen die
Informationssysteme ausgesetzt sind.
Sie erforscht menschliche und
technische Schwachstellen um die
Schadensfälle zu analysieren und
deren Häufigkeit und Dauer zu
reduzieren.
Neben der analytischen Bewertung des
Risikos und der Abschätzung der
Faktoren der Risikoanalyse
Wahrscheinlichkeit zukünftiger
Gefahren, geht es bei der
Risikoanalyse um die Konsequenzen und die Kosten, die sich aus den Ausfallzeiten der ITSysteme und einem möglichen Datenverlust ergeben.
Die Ergebnisse der Risikoanalyse gehen unmittelbar in das Risikomanagement ein.
33
IT-Sicherheit
Sabotage
Im Kontext mit ITWissen.info und den darin behandelten Themenbereichen der
Datenkommunikation und der Informationstechnik ist Sabotage als ein vorsätzlicher Eingriff in
ein System, Netzwerk oder Programm um dessen Funktion zu beeinträchtigen und den
wirtschaftlichen Ablauf zu stören. Sabotage gefährdet die Daten- und Netzwerksicherheit
sowie die Informations- und IT-Sicherheit. Sie stellt eine Bedrohung dar und kann sich auch
auf die Beschädigung von Einrichtungen oder Systemen beziehen.
Im Gegensatz zur Manipulation setzt die Sabotage kriminelle Energie voraus.
Schwachstelle
vulnerability
Der Begriff Vulnerability, zu Deutsch Schwachstelle, wird in der Informationssicherheit in dem
Sinne benutzt, als dass es sich um einen Fehler der Software handelt, der von Hackern
genutzt werden kann und ihnen den Zugriff auf Systeme oder Netzwerke ermöglicht. In
Zusammenhang mit den Common Vulnerabilities and Exposures (CVE) geht es bei der
Vulnerability um die Verletzung der Sicherheitspolitik eines IT-Systems durch einen Angreifer.
Das Vulnerability Management (VM) erarbeitet Verfahren und Prozesse um die
sicherheitsrelevanten Schachstellen in IT-Systemen zu erkennen und beseitigen.
Schwachstellenmanagement
VM, vulnerability
management
Das Vulnerability Management (VM) befasst sich mit den sicherheitsrelevanten Schachstellen
in IT-Systemen. Mit dem VM-Management sollen Prozesse und Techniken erarbeitet werden,
mit denen zur Steigerung der IT-Sicherheit eine Sicherheitskonfiguration in Unternehmen
eingeführt und verwaltet werden kann. Das Vulnerability Management umfasst die
Schwachstellenanalyse unter Berücksichtigung der in den Standards BS 7799 resp. ISO 17799
detailliert beschriebenen Faktoren Mensch, Maschine, Umgebung und Daten.
Darüber hinaus spielt beim VM-Management das Common Vulnerability Scoring System
(CVSS), mit dem ein Rating- Index erstellt wird, eine wesentliche Rolle.
34
IT-Sicherheit
Sicherheit
security
Unter Sicherheit sind alle technischen und organisatorischen Maßnahmen zu verstehen die
Daten schützen. Dieser Schutz wird bei den Bedienenden realisiert, in Systemen und
Computern, bei der Übertragung sowie in Diensten und Anwendungen. Unter Berücksichtigung
des möglichen Gefährdungspotentials werden Sicherheitsmechanismen implementiert, die das
Eindringen in Systeme, das Abhören der Übertragungswege, die Manipulation, die Sabotage
und das Löschen von Datensätzen verhindern soll.
Zu den personenbezogenen Schutzmechanismen gehören die Autorisierung und
Authentifizierung durch Passwörter oder persönlicher Identifikationsnummer (PIN),
biometrische Daten oder Signaturen. Die systembezogenen Sicherheitskriterien gehören zur
IT-Sicherheit und umfassen technische und organisatorische Maßnahmen. Dazu gehören die
Installation eigener Sicherheitsarchitekturen mit Firewalls, das Sicherheitsmanagement und
die Schlüsselverwaltung.
Kennzeichnend für die übertragungstechnische Sicherheit, die Netzwerksicherheit und die
Internetsicherheit, sind die Verschlüsselungsverfahren und die Datenübertragung mit
Sicherheitsprotokollen. Anwendungsorientierte Schutzmaßnahmen haben branchenspezifische
Eigenschaften, wie beispielsweise bei geschäftlichen Transaktionen, bei denen digitale
Signaturen und Transaktionsnummern die Sicherheit verbessern.
Unter Sicherheit fallen alle Kriterien, die die Integrität, Verfügbarkeit, Vertraulichkeit,
Verbindlichkeit, Betriebssicherheit und Authentizität betreffen.
Sicherheits-ID
SID, security identifier
Die Sicherheits-ID (SID) dient der eindeutigen Identifizierung eines Benutzer in einem
Sicherheitssystem. Sicherheits-IDs können einzelnen Personen oder ganzen Benutzergruppen
zugewiesen werden.
Bedingt durch die Vielzahl an Benutzernamen ist es möglich dass im Netz viele
35
IT-Sicherheit
Doppeldeutigkeiten auftreten, die entsprechende Probleme verursachen. Aus diesem Grund
wird mit dem Security Identifier (SID) jedem Benutzer eine eindeutige Kennung zugewiesen,
die kein anderer Benutzer hat. Mit der SID-Kennung, die von den Betriebssystemen
unterstützt werden, werden dem Benutzer in aller Regel auch Rechte zugewiesen und er ist im
gesamten Netzwerk unter dieser SID-Kennung identifizierbar. Wird der Benutzername aus dem
Netzwerk gelöscht, dann erlischt auch sein Security Identifier.
Unter Windows besteht der Security Identifier aus der Revisionsnummer des Betriebssystems,
der Identifier Authority, der Domain-ID und der Benutzer-ID.
Sicherheitsarchitektur
security architecture
Die Sicherheitsarchitektur der ISO bildet den zweiten Teil des OSI-Referenzmodells und ist die
Basis für die Integration von Sicherheit in offenen Kommunikationssystemen. Die OSISicherheitsarchitektur beschreibt keine bestimmte Technologie, wie Sicherheit in offenen
Systemen erreicht wird, sondern sie befasst sich mit den Sicherheitsaspekten in offenen
Kommunikationssystemen und definiert die zugehörige Gedanken- und Begriffswelt sowie
Richtlinien und Maßnahmen um vorhandene Standards zu verbessern und neue zu entwickeln.
Die OSI-Sicherheitsarchitektur stellt die Beziehungen zwischen den Sicherheitsdiensten und mechanismen mit den Schichten des OSI-Referenzmodells her. Die verschiedenen
Sicherheitsdienste und -mechanismen sind auf allen sieben Schichten des OSIReferenzmodells angesiedelt; von der Bitübertragungsschicht bis hin zur Anwendungsschicht.
Sicherheitsdienst
security service
Sicherheitsdienste sollen Angriffe abwehren. Es handelt sich dabei um Technologieunabhängige Sicherheitsmaßnahmen, die durch ihre Leistungsmerkmale genau definiert sind
und in die Schichtenstruktur der Sicherheitsarchitektur eingebunden werden. Die fünf primären
Sicherheitsdienste Vertraulichkeit, Integrität, Authentifizierung, Zugriffskontrolle und
36
IT-Sicherheit
Unwiderrufbarkeit werden durch
Sicherheitsmechanismen realisiert.
Neben den genannten
Sicherheitsdiensten gibt es weitere, die
detaillierter sind, wie die
Unversehrtheit der Nachricht oder der
Kommunikationsnachweis. Jeder
Sicherheitsdienst basiert auf einem
oder mehreren
Sicherheitsmechanismen.
Ein Sicherheitsdienst ist die
Vertraulichkeit, mit der sichergestellt
wird, dass nur Befugte auf
entsprechende Informationen zugreifen
können. Sie schützt vor passiven
Angriffen und damit vor dem
unbefugten Mitlesen von übertragenen
Nachrichten und gespeicherten
Informationen. Bei den aktiven
Angriffen steht die Veränderung der
Sicherheitsdienste und deren -mechanismen
Information und die damit
einhergehende Reaktion des
Empfängers im Vordergrund. Die
Vertraulichkeit basiert auf den
37
IT-Sicherheit
Sicherheitsmechanismen Verschlüsselung und Integrität.
Der Sicherheitsdienst Datenintegrität überprüft die Datenunversehrtheit und zeigt an ob
Datenströme verändert, manipuliert, modifiziert, gelöscht oder vertauscht wurden.
Ein weiterer Sicherheitsdienst ist die Zugriffskontrolle, die durch entsprechende Mechanismen
die Möglichkeiten des unberechtigten
Zugriffs auf Programme und Daten
weitestgehend eingeschränkt. Mit der
Vertraulichkeit wird sichergestellt, dass
Informationen nur für Befugte zugänglich
sind. Die Authentifikation des
Kommunikationspartners und des
Ursprungs der Nachrichten, der
Empfänger- und Urhebernachweis, sind
weitere sicherheitsrelevante Dienste.
Unter einer Public Key Infrastructure (PKI)
versteht man eine Umgebung, in der
Sicherheitsinfrastruktur
PKI, public key
infrastructure
Services zur Verschlüsselung und
digitalen Signatur auf Basis von PublicKey-Verfahren bereitgestellt werden. Bei
Strukturierung der PKI
dieser Sicherheitsstruktur wird der
öffentliche Schlüssel eines
Zertifikatnehmers (ZN) mit den
entsprechenden Identifikationsmerkmalen
38
IT-Sicherheit
durch eine digitale Signatur von einer Zertifizierungsinstanz (CA) autorisiert.
Die Instanzen der Sicherheitsinfrastruktur sind dabei für das gesamte Schlüssel-Management
zuständig. Der Einsatz von PKI bietet eine vertrauenswürdige Netzwerkumgebung, in der
Kommunikation vor unberechtigtem Zugriff durch Verschlüsselung geschützt und die
Authentizität des Kommunikationspartners durch die digitale Signatur gewährleistet ist. Die
verschiedenen Anwendungen der PKI sind kryptografisch geschützt. Dazu gehören der Schutz
von E-Mail-Anwendungen, von Desktopsystemen und von webbasierten Anwendungen, von ECommerce, sowie die Zugriffskontrollen und die sichere Kommunikation in VPNs.
Die PKI nutzt zwei Schlüssel mit einer typischen Länge von 1024 bis 2048 Bit. Einen privaten,
den nur der Besitzer und die Zertifizierungsstelle kennen und der auch nie ausgelesen oder
verschickt wird, sowie einen öffentlichen Schlüssel, der dem jeweiligen Geschäftspartner
bekannt gemacht werden muss.
Die PKI-Architektur besteht aus den Instanzen Policy Certification Authority (PCA),
Certification Authority (CA), Registration Authority (RA) und dem Zertifikatnehmer, die
unterschiedliche Aufgaben realisieren. Darüber hinaus umfasst das PKI-Modell mehrere
Funktionseinheiten wie das Key Management Center (KMC), die Time Stamping Authority
(TSA) und das Key Recovery Center (KRC).
Der ausgezeichnete Teil der PKI wird als Trust Center bezeichnet.
Eine Sicherheitsinfrastruktur muss für den Endbenutzer transparent sein, allerdings sollten die
genauen Abläufe des Schlüssel- und Zertifikatmanagements vor dem Benutzer verborgen
bleiben. Er sollte aber in der Lage sein, auf einfache Art und Weise die Services zu nutzen.
Sicherheitsmanagement
SM, security management
Das OSI-Sicherheitsmanagement ist einer von fünf Funktionsbereichen des OSI-Managements
und hängt mit der Zielspezifikation der Benutzerverwaltung unmittelbar zusammen.
39
IT-Sicherheit
Sicherheitspolitische Aspekte müssen ethische und gesetzliche Komponenten ebenso
berücksichtigen wie rechtliche, organisatorische und wirtschaftliche Voraussetzungen.
Das Sicherheitsmanagement (SM) umfasst den Schutz von Informationen. Dies kann sich auf
den Schutz von Objekten, von Diensten und Ressourcen auswirken. Zu den
Sicherheitsmaßnahmen gehören u.a. die Authentifizierung, die Passwortverwaltung und die
Zugriffsberechtigung auf Netze und LAN-Segmente.
Sicherheitsbetrachtungen müssen unter der Prämisse geplant werden, dass Informationen
einen Wert darstellen, der quantifiziert und qualifiziert werden kann.
Die Datenbasis des OSI-Sicherheitsmanagements bildet die Security Management Information
Base (SMIB). Die OSI-Sicherheitsarchitektur kennt drei Management-Kategorien: System
Security Management, Security Services Management und Security Mechanismen Management.
Die Abwicklung des Sicherheitsmanagements zwischen den Endsystemen erfolgt über
Sicherheitsprotokolle. Dabei müssen die Sicherheitsprotokolle und die übertragenen
Management-Informationen geschützt werden.
Sicherheitspolitik
In der Sicherheitspolitik werden die Regeln und Verfahrensweisen festgelegt, nach denen die
security policies
Datenübermittlung, -verarbeitung und -speicherung erfolgen. Sie berücksichtigt personelle,
technische, organisatorische und rechtliche Einflussfaktoren.
Bei den personellen Einflussfaktoren geht es um das Bedienpersonal, der Zuverlässigkeit,
Sensibilität und Vertrauenswürdigkeit. Es geht um die Antworten auf Fragen wie „Wer darf auf
welche Daten zugreifen?“ oder „Wer ist für die Sicherheitspolitik verantwortlich?“
Die technischen Einflussfaktoren sind geprägt durch die vorhandenen Computer, die Art und
Sensibilität der Daten und der Software, aber auch durch räumliche Gegebenheiten, die Art der
eingesetzten Übertragungsmedien und -techniken, sowie die Anzahl der Prozesse usw. Bei der
40
IT-Sicherheit
Technik stellen sich Fragen hinsichtlich der Daten, der Art der Vermittlung oder der
Verkehrsbeziehungen. So beispielsweise: „Welche Verkehrsbeziehungen sind erlaubt?“ oder
„Auf welcher Schicht werden die Sicherheitsdienste installiert?“.
Bei den organisatorischen Einflussfaktoren handelt es sich um solche, die sich mit den
Arbeitsabläufen der Benutzer beschäftigen. Bei diesen Einflussfaktoren geht es um die vielen
sicherheitsrelevanten Aspekte, wie „An wen werden Alarme gemeldet?“ oder „Welche
Maßnahmen sind zu treffen, damit die Sicherheitspolitik eingehalten wird?“.
Darüber hinaus muss sich die Sicherheitspolitik auch nach den Gesetzen und rechtlichen
Vereinbarungen richten. Zu nennen sind das Bundesdatenschutzgesetz (BDSG),
Signaturgesetz (SigG), Teledienstdatenschutzgesetz (TDDSG) und andere. Letztlich geht es
auch um die Rechtsverbindlichkeit der Informationen, um deren Urhebernachweis oder
Kommunikationsnachweis.
Sicherheitsprotokoll
security protocol
Sicherheitsprotokolle erhöhen die Sicherheit des Datenverkehrs in Kommunikationsnetzen. Sie
können auf allen Schichten des Kommunikationsmodells eingesetzt werden und besitzen
verschiedene Verschlüsselungstechniken, mit denen die Authentisierung gesichert wird oder
die zu übertragenden Daten codiert werden.
Eines der bekannteren im LAN-Umfeld eingesetzten Sicherheitsprotokolle auf der
Vermittlungsschicht ist das PPP-Protokoll. Dieses Protokoll wird vorwiegend für
Netzwerkanschlüsse verwendet, die auf Einwahlverbindungen basieren. In der IPKommunikation gehört IPsec zu den standardisierten Protokollen. Daneben ist das TunnelingProtokoll PPTP zu nennen und das für die Verschlüsselung der PPTP-Datenpakete dienende
Microsoft Point to Point Encryption Protokoll (MPPE).
Die auf der Vermittlungsschicht arbeitenden Sicherheitsprotokolle wie das PAP-Protokoll, das
41
IT-Sicherheit
SSH-Protokoll oder RADIUS unterstützen die Authentisierung und den Passwortschutz. Für die
Sicherung von Tunnel-Verbindungen ist L2Sec zu nennen. In den höheren Schichten dienen die
Sicherheitsprotokolle zur Verschlüsselung der Anwendungen, so beispielsweise das SSLProtokoll und das TLS-Protokoll.
Sicherheitsrichtlinie
security directive
Sicherheitsrichtlinien sind unternehmensspezifische Regeln in denen die Ziele für alle
sicherheitsrelevanten Arbeitsgebiete festgelegt sind.
In Unternehmen definieren die Sicherheitsrichtlinien die Regeln, die die Mitarbeiter, die an der
Ausarbeitung der Richtlinien beteiligt sein sollten, in ihrem Arbeitsgebiet beachten müssen.
Zu den wichtigsten Interessengruppen in einem Unternehmen gehören die Sicherheits- und
Netzwerkadministration, Arbeitnehmervertreter, Vertreter der Nutzergruppen und der
Geschäftsführung. Die ausgearbeiteten Sicherheitsrichtlinien sollten von den Nutzern
umgesetzt und akzeptiert werden, sie sollten die Sicherheit des Netzwerks und der Systeme
gewährleisten und die Rechte und Pflichten der Nutzer, der Administration und der
Geschäftsführung klar regeln. Bestandteile der Sicherheitsrichtlinien umfassen die
Beschaffung der Software, Computer- und Netzwerktechnik und die darin realisierten
Sicherheitsstandards, die Zugriffsberechtigungen und alle Maßnahmen die dem Datenverlust
und der Abwehr von Angriffen dienen, die Betriebs- und Wartungsrichtlinien und das
Reporting, um nur einige zu nennen.
In die Sicherheitsrichtlinien fließen die nationalen und internationalen Sicherheitsstandards
für die Bewertung und Zertifizierung von IT-Systemen ein. Dazu gehören die europäischen
Information Technology Security Evaluation Criteria (ITSEC), die amerikanischen Trusted
Computer Security (TCSEC) und die Common Criteria for Information Technology Security
42
IT-Sicherheit
Evaluation (CC). Außerdem befasst sich Kapitel 1 des britischen Standards BS 7799 für das
Sicherheitsmanagement mit den Sicherheitsrichtlinien für das Management und für die
Betreuung der IT-Sicherheit.
Sicherheitsstufe
Der Safety Integrity Level (SIL) ist ein Verfahren zur Ermittlung des potentiellen Risikos von
SIL, safety integrity level
Personen, Systemen, Geräten und Prozessen im Falle einer Fehlfunktion. Die Basis für die
Spezifikationen, den Entwurf und Betrieb von sicherheitstechnischen Systemen (SIS) bildet der
IEC-Standard 61508.
IEC 61508 bietet ein kohärentes Framework in dem alle früheren Sicherheitsregularien
berücksichtigt sind. Dazu gehören die in Deutschland bekannten Sicherheitsnormen DIN/VDE
19250, DIN/VDE 19251 und DIN/VDE 801. Der 61508-Standard definiert die Sicherheit in
Abhängigkeit vom Grad der Beschädigung und der Wahrscheinlichkeit, die eine bestimmte
Anwendung hinsichtlich einer
risikorelevanten Situation hat.
61508 hat eine eigene
Risikobewertung mit der die
Sicherheits-Integritätslevel (SIL)
für die Geräte und Systeme mit
Sicherheitsaufgaben ermittelt
werden. Der IEC-Standard kennt
SIL-Level des IEC-Standards 61508
die vier SIL-Level SIL1 bis SIL4, die
als Sicherheitsausführungen von
elektrischen und elektronischen
Geräten definiert sind. Im SIL-Wert
43
IT-Sicherheit
drückt sich die spezifizierte Sicherheitsfunktion im Fehlerfall aus: Mit welcher
Wahrscheinlichkeit arbeitet das System im angeforderten Fehlerfall (PFD).
Beim SIL-Level 1 ist die Gefahr oder das wirtschaftliche Risiko relativ gering und die
Verfügbarkeit des der sicherheitstechnischen Systeme mit 90 % oder 10 %
Fehlerwahrscheinlichkeit akzeptabel.
Das Risikopotential wird in technischen Einrichtungen, verfahrenstechnischen Anlagen, in der
Automotive-Technik, in Maschinen, Aufzügen, programmierbaren Steuerungen, IT-Anlagen und
-Systemen bestimmt.
Sicherheitsvereinbarung
SA, security association
Security Associations (SA) sind Sicherheitsvereinbarungen, die zwei mittels IPsec miteinander
kommunizierende Instanzen vor der Kommunikation untereinander austauschen. Diese
Sicherheitsvereinbarungen werden für den Authentification Header (AH) und den Encapsulated
Security Payload (ESP) jeweils individuell getroffen. Sie gelten für die unidirektionale
Kommunikation, also nur für eine Übertragungsrichtung. Da eine Kommunikation bidirektional
erfolgt, sind mindestens zwei Sicherheitsvereinbarungen für die Übertragung erforderlich: eine
für beispielsweise für die Verschlüsselung eines Datenpakets, die zweite für die
Authentifizierung.
Security Associations sind die grundlegende individuelle Basis jeder IPSec-Verbindung. Sie
definieren exakt, wie der Host oder das Security Gateway eine Verbindung zur Zielkomponente
aufbauen und erhalten muss. Eine Security Association ist stets einzigartig und wird durch
drei wesentliche Komponenten beschrieben: Den Security Parameter Index (SPI) die IPZieladresse und den Security Protocol Identifier.
Zur Vereinfachung des Verfahrens benutzt man so genannte Domain of Interpretation (DOI),
in der die verschiedenen Parameter festgelegt sind.
44
IT-Sicherheit
Snooping
Unter Snooping versteht man das Abhören einer Verbindung auf einem Broadcast-Medium,
einem Chat oder der Internettelefonie. Der Mithörende, beispielsweise ein Hacker, kann
dadurch in den Besitz von vertraulichen Daten wie Passwörter kommen.
Neben dem genannten Snooping gibt es noch das Bus-Snooping bei dem jeder Teilnehmer auf
dem Hostbus Adressen anderer Teilnehmer mitlesen kann.
Spam
spam mail
Spams, Spam-Mails oder auch Junk-Mails, sind unverlangt zugesendete E-Mails und SMS. Das
können auch Newsartikel sein, die an viele Newsgroups verteilt werden. Im normalen
Sprachgebrauch sind damit unerwünschte Nachrichten gemeint, an denen man kein Interesse
hat. Eine Spam-Mail ist vergleichbar einer nicht angeforderten postalischen Wurfsendung. Die
unerwünschten elektronischen Massenaussendungen werden auch als Unsolicited Bulk E-Mail
(UBE) bezeichnet, die kommerziellen E-Mails als Unsolicited Commercial E-Mail (UCE).
Für die Aussendung von Spams gibt es spezielle Programme für das Internet. So können
Spam-Mails über Chats ebenso verbreitet werden wie über ICQ.
Die Kreativität der Spam-Autoren kennt kaum Grenzen. So sind Spam-Mails zu komplexen und
spezialisierten Anwendungen mutiert. Sie sind mit Flash-Animationen, versteckten Inhalten
oder Spyware bestückt. Zur Verhinderung von Spams gibt es Spam-Filter gegen unerwünschte
Massen-E-Mails, E-Mail-Filter zur inhaltlichen Filterung von E-Mails nach Text- und Anhängen
sowie Web-Filter zur Blockierung von unerwünschten E-Mail-Adressen.
Die Organisationen MAPS und CAUCE haben sich speziell mit der Verhinderung von Spam-Mails
auseinander gesetzt und bieten verschiedene Listen mit den Server-Adressen, von denen
regelmäßig Spams versandt werden.
Spoofing
1.
In der Netzwerktechnik ist Spoofing eine Technik zur Reduzierung des Bandbreitenbedarfs
45
IT-Sicherheit
im Internetworking. Mit dieser Technik wird der Netzwerk-Overhead reduziert und dadurch die
Kosten bei der Übertragung über Weitverkehrsnetze ebenso wie die Netzauslastung gesenkt.
Das Spoofing reduziert zyklisch gesendete Nachrichten, wie NetzwerkmanagementInformationen, dadurch, dass ein Router als Proxy arbeitet und für ein angeschlossenes
Remote-Gerät antwortet. Durch das Spoofing erscheint dem LAN-Gerät beispielsweise eine
Verbindung als noch bestehend, obwohl sie bereits abgebaut wurde. Das hat bei
Weitverkehrsverbindungen den Vorteil, dass eine Verbindung beim Ausbleiben von Nutzdaten
nach einer gewissen Zeit abgebaut werden kann, obwohl sie normalerweise durch die
zyklischen Management-Datenpakete aufrechterhalten bleiben müsste.
2. In der Internet-Terminologie hat das Spoofing eine eigene Bedeutung, und zwar die
Angabe einer falschen Adresse. Durch die falsche Internetadresse täuscht jemand vor, ein
autorisierter Benutzer zu sein. Maßnahmen gegen das Spoofing, die den Missbrauch von IPAdressen verhindert, nennt man Anti-Spoofing.
Es gibt das IP-Spoofing, DNS-Spoofing, WWW-Spoofing und ARP-Spoofing, die mit simulierter
IP-Adresse anhand der Host-Adresse oder des Domainnamen oder mit der Zuordnung
zwischen IP- und Hardwareadresse fungieren.
Spyware
Der Begriff Spyware ist eine Wortschöpfung aus Spy (Spionieren) und Ware. Es handelt sich
dabei um eine Software, die das Online-Verhalten von Webnutzern, das sich im Surfen
ausdrückt, ausspioniert und dieses Wissen an andere weitergibt. Aus den Ergebnissen, die in
der Regel in Tabellen gespeichert und über E-Mails an den Urheber gesendet werden, können
Rückschlüsse auf das Werbeverhalten gezogen und die Werbewirksamkeit durch gezielten
Einsatz von abgestimmten Methoden gesteigert werden.
46
IT-Sicherheit
Spyware wird als unerwünschte Software auf Workstations installiert, sie verhält sich
penetrant und ist potenziell gefährlich. Der Zweck ist die Bereicherung des Urhebers. Sie wird
durch Trojaner und mit E-Mails auf den Anwender-PC heruntergeladen.
Spyware kann dann zu einer ernsthaften Gefahr werden, wenn vertrauliche Informationen des
angemeldeten Nutzers weitergegeben werden. Dazu gehören u.a. die Abfolge der
Tastatureingaben, der Benutzername, der Hashwert des Administrator-Passwortes, E-MailAdressen, Kontaktdaten sowie Anmelde- und Nutzungsinformationen zu Instant-Messaging.
TCSEC, trusted computer
security
Die Trusted Computer Security (TCSEC) ist ein Kriterienkatalog für die Sicherheit von ITSystemen. Der von der amerikanischen NCSC entwickelte und vom US-amerikanischen
Verteidungsministerium 1985 herausgegebene Kriterienkatalog dient US-Firmen zur Bewertung
von sicherheitsrelevanten Maßnahmen. Aufbauend auf dem in den 80er Jahren definierten
TCSEC wurden diverse Maßnahmenkataloge für verschiedene Länder und die Nato entwickelt.
International werden die Common Criteria (CC) verwendet, die aus den ITSEC und den TCSEC
entwickelt wurden.
trap door
Falltür
Trap Doors gehören zu den potentiellen Gefahren von IT-Systemen. Dabei handelt es sich um
eine versteckte Funktionalität mit der versucht wird die Sicherheitsfunktionen eines ITSystems zu Durchdringen oder zu Umgehen. Die Trap Door oder auch Backdoor ist eine
implementierte Befehlsfolge für einen Angriff auf ein IT-System. Trap Doors werden auch zum
Testen von Programmen benutzt oder bewusst von Entwicklern eingebaut um sich einen
späteren unberechtigten Zugang zu dem System zu verschaffen. Aktiviert werden solche
Falltüren durch eine bestimmte Zeichen- oder Ereignisfolge eines Client oder Servers.
Trap-Door-Funktionen sind relativ leicht zu berechnen, allerdings ist es ohne die Kenntnis des
47
IT-Sicherheit
Geheimschlüssels nicht möglich aus dem funktionalen Wert (y) das entsprechende Argument
(x) zu berechnen.
Trojaner
trojan
Unter einem Trojaner, auch als trojanischen Pferd bezeichnet, versteht man ein Programm, das
neben seiner eigentlichen Funktion noch weitere, unbekannte Funktionen aufweist. Bei seiner
Ausführung richtet ein trojanisches Pferd Schaden »von innen« an. Dabei werden
Datenbestände und Passwörter ausspioniert und über das Internet versendet, ebenso aber
auch Systemkonfigurationen verändert oder gelöscht. Trojaner missbrauchen Computer und
rüsten in diesen zusätzliche Funktionen nach, mit denen sie Zugangsdaten, Passwörter und
Seriennummern erfassen oder die Remote-Eigenschaften und die Systemadministration
beeinträchtigen, so beispielsweise als Spyware, zur Aussendung von Spams oder für Angriffe
auf Server. Trojaner verbreiten sich über Anhänge von E-Mails, aber auch über Tauschbörsen.
Trojaner kann man dadurch verhindern, indem man keine Software aus unbekannten Quellen
auf seinen Computer lädt oder diese vorher durch einen Virenscanner checkt.
Virus
In den 90er Jahren hat sich in kurzer Zeit das Virus-Problem von einer theoretischen zu einer
virus
realen Bedrohung für Computer und Datennetze entwickelt. Viren sind Schadprogramme, die
alle Rechner, Programme und Dateien angreifen und schädigen. Daher unterscheidet man bei
den Viren zwischen Computerviren, Dateiviren, Systemviren und Bootviren.
Ein typisches Computervirus ist ein einfaches Programm, das sich selbst reproduziert, sich in
normalen Programmen versteckt und dessen Zweck es ist, durch Infizierung andere Soft- und
Hardware zu behindern oder zu zerstören. Wenn infizierte Programme ablaufen, stecken sie
auch andere Programme und andere Computer an, mit denen sie in Kontakt kommen. Wenn
ein Computervirus einmal ein Programm befallen hat, dann kann er Programme zerstören,
48
IT-Sicherheit
Daten vernichten, Zahlenwerte
in einer Tabellenkalkulation
verändern, Festplatten neu
formatieren und damit ihren
gesamten Datenbestand
vollständig vernichten oder
jeden nur möglichen Schaden
anrichten, den der
Programmierer des Virus
eingeplant hat.
In fast allen Fällen bleibt der
Virus unbemerkt, während er
Programmablauf ohne und mit Virenprogramm
sein Zerstörungswerk vollbringt.
Auch die Virenerkennung mittels
Virenscannern gestaltet sich
zunehmend schwieriger, da sich
Viren verändern können, wie polymorphe Viren, und neuere Viren Tarnfunktionen besitzen, wie
der Stealth Virus, und sich vor Virenscannern verbergen können.
Viren werden über das Internet verbreitet, und zwar über die Dateianhänge von E-Mails und
Software-Downloads. Sie werden in Datenbanken von Wildlist als ITW-Viren erfasst und
stehen Anwendern unter http://www.wildlist.org zur Verfügung.
WLAN-Sicherheit
WLAN security
Der von der Arbeitsgruppe 802.11i für WLANs definierte Sicherheitsstandard hatte einige
Lücken und wurde daher vollkommen überarbeitet und neu definiert. Mit der Neudefinition sind
49
IT-Sicherheit
herstellerübergreifende WLAN-Sicherheitslösungen in allen Netzkonfigurationen möglich,
unabhängig von den eingesetzten Produkten.
Generell bezieht sich die WLAN-Sicherheit als Teil des WLAN-Managements auf den
Zugangsschutz der Teilnehmer durch Authentifizierung und den Schutz vor der Einwahl in
unberechtigte Access Points (AP). Darüber hinaus müssen die Sicherheitslösungen
sicherstellen, dass Unberechtigte die über Funk empfangenen Datenströme nicht auswerten
können. Da sich der Empfang von Funksignalen in einer entsprechenden Entfernung nicht
verhindern lässt, müssen geeignete Maßnahmen in Form von Verschlüsselung eingesetzt
werden, damit die verschlüsselten Datenpakte nicht entschlüsselt und ausgewertet werden
können. Des Weiteren muss die WLAN-Sicherheit auch die Manipulation von Datenströmen
erkennen und verhindern können. Dies kann mittels zyklischer Blockprüfung (CRC) erfolgen.
Der Schlüsselaustausch über das WLAN ist ein weiterer Punkt, der besonders bei
symmetrischer Verschlüsselung, bei der Sender und Empfänger mit gleichem Schlüssel
arbeiten, Probleme aufwirft. Daher arbeiten WLANs häufig beim Schlüsselaustausch mit
asymmetrischer Verschlüsselung und in der Übertragung mit symmetrischer Verschlüsselung.
In diesem Zusammenhang ist das WEP-Protokoll (Wired Equivalent Privacy) zu nennen, das in
802.11 definiert wurde. Darüber hinaus das Counter Mode With CBC-MAC Protocol (CCMP) und
das Wireless Robust Authentication Protocol (WRAP).
Da das WEP-Protokoll einige Schwächen hat, werden neben diesem Sicherheitsprotokoll mit
statischen Schlüsseln weitere mit dynamischer Schlüsselvergabe eingesetzt. So das EAPProtokoll und das von der WiFi-Allianz definierte WiFi Protected Access (WPA).
802.11i hat ein ausgefeiltes Sicherheitskonzept mit einer umfassenden Schlüsselhierarchie,
die neben einem Master Key (MK), Pairwise Master Key (PMK), Pairwise Transient Key (PTK)
sowie weitere daraus abgeleitete Schlüssel kennt.
50
IT-Sicherheit
Wurm
worm
Ein Wurm ist ein infizierter Programmcode, der sich normalerweise über die vorhandene
Infrastruktur, über Netzwerkverbindungen oder den Anhang von E-Mails ausbreitet und auf
anderen Systemen Schaden anrichtet. Würmer können auch das Adressbuch des Benutzers für
die Verbreitung benutzen.
Würmer sind schädliche, autonome Programmroutinen, die sich, sobald sie codiert und
freigesetzt werden, automatisch vervielfältigen um möglichst viele Rechner zu befallen. Sie
dringen über Sicherheitslücken in die Systeme ein und richten dort Schaden an, indem sie
unerwünschte Aktionen auslösen. Das können Nachrichten sein, die plötzlich auf dem
Bildschirm erscheine; sie können aber auch Dateien löschen, Festplatten formatieren oder den
Prozessor mit sinnlosen Aufgaben eindecken.
51
Impressum
IT-Sicherheit
Herausgeber
Klaus Lipinski
Datacom-Buchverlag GmbH
84378 Dietersburg
ISBN: 978-3-89238-192-1
IT-Sicherheit
E-Book, Copyright 2010
Trotz sorgfältiger Recherche wird für die angegebenen Informationen
keine Haftung übernommen.
Dieses Werk ist unter einem Creative Commons
Namensnennung-Keine kommerzielle Nutzung-Keine
Bearbeitung 3.0 Deutschland Lizenzvertrag lizenziert.
Erlaubt ist die nichtkommerzielle Verbreitung und Vervielfältigung ohne das
Werk zu verändern und unter Nennung des Herausgebers. Sie dürfen dieses
E-Book auf Ihrer Website einbinden, wenn ein Backlink auf www.itwissen.info
gesetzt ist.
Layout & Gestaltung: Sebastian Schreiber
Titel: © Hunta - Fotolia.com
Produktion: www.media-schmid.de
Weitere Informationen unter www.itwissen.info
52