Glossar IT-Sicherheit 9783892381921


289 70 1MB

German Pages [52] Year 2010

Report DMCA / Copyright

DOWNLOAD PDF FILE

Table of contents :
Index
Abhörsicherheit
Angriff
Anwendungssicherheit
Authentifizierung
Authentizität
Autorisierung
Backdoor
Bedrohung
Broadcaststurm
Brute-Force-Angriff
BS 7799
BSI, Bundesamt für
Sicherheit in der
Informationstechnik
CC,
Compliance
Content-Sicherheit
ITCracker
CRAMM,
Crasher
Datensicherheit
DoS,
DoS-Attacke
EAL,
Flaming
Hacker
Heuristik
Hijacking
Hoax
Identifikation
Identität
Informationssicherheit
Internetsicherheit
ISMS,
ISO 17799
IT-Sicherheit
ITSEC,
Makrovirus
Malware
Man-in-the-Middle-
Angriff
Netzwerksicherheit
Perimeter-Sicherheit
Phishing
Phreaking
PnP-Sicherheit
Risiko
Risikoanalyse
Sabotage
Schwachstelle
Schwachstellenmanagement
Sicherheit
Sicherheits-ID
Sicherheitsarchitektur
Sicherheitsdienst
Sicherheitsinfrastruktur
Sicherheitsmanagement
Sicherheitspolitik
Sicherheitsprotokoll
Sicherheitsrichtlinie
Sicherheitsstufe
Sicherheitsvereinbarung
Snooping
Spam
Spoofing
Spyware
TCSEC,
trap door
Trojaner
Virus
WLAN-Sicherheit
Wurm
Impressum
Recommend Papers

Glossar IT-Sicherheit
 9783892381921

  • 0 0 0
  • Like this paper and download? You can publish your own PDF file online for free in a few minutes! Sign Up
File loading please wait...
Citation preview

IT-Sicherheit

Glossar IT-Sicherheit 1

Index IT-Sicherheit Abhörsicherheit

management method

Angriff

Crasher

Anwendungssicherheit

Datensicherheit

Authentifizierung

DoS, denial of service

Authentizität

EAL, evaluation assurance level

Autorisierung

Flaming

Backdoor

Hacker

Bedrohung

Heuristik

Broadcaststurm

Hijacking

Brute-Force-Angriff

Hoax

BS 7799

Identifikation

BSI, Bundesamt für Sicherheit in der Info.

Identität

CC, common criteria

Informationssicherheit

Compliance

Internetsicherheit

Content-Sicherheit

ISMS, information security management system

Cracker

ISO 17799

CRAMM, computer risk analysis and

IT-Sicherheit 2

IT-Sicherheit ITSEC, information technology

Sicherheitsdienst

security evaluation criteria

Sicherheitsinfrastruktur

Makrovirus

Sicherheitsmanagement

Malware

Sicherheitspolitik

Man-in-the-Middle-Angriff

Sicherheitsprotokoll

Netzwerksicherheit

Sicherheitsrichtlinie

Perimeter-Sicherheit

Sicherheitsstufe

Phishing

Sicherheitsvereinbarung

Phreaking

Snooping

PnP-Sicherheit

Spam

Risiko

Spoofing

Risikoanalyse

Spyware

Sabotage

TCSEC, trusted computer security

Schwachstelle

trap door

Schwachstellenmanagement

Trojaner

Sicherheit

Virus

Sicherheits-ID

WLAN-Sicherheit

Sicherheitsarchitektur

Wurm 3

IT-Sicherheit Abhörsicherheit bug proof

Unter Abhörsicherheit versteht man ganz allgemein die Sicherheit gegen unberechtigtes Mithören von Dritten bei der Übertragung zwischen Endteilnehmern. Dabei kann es sich sowohl um die drahtlose Übertragung mittels Funktechnik handeln als auch um das Abhören der leitungsgebundenen Übertragung über Kabel oder Lichtwellenleiter. Das Abhören betrifft die Daten- als auch die Sprachkommunikation, wobei letztere durch das Fernmeldegeheimnis geschützt ist. Zur Vermeidung des Abhörens werden verschiedene Techniken eingesetzt. Diese reichen von der Feldstärkemessung über die OTDR-Technik und der Dämpfungsmessung der Übertragungsstrecke bis zur Verschlüsselung der Information, der gängigsten Methode gegen unberechtigtes Abhören. Bei der Mobilkommunikation, bei der die Luftschnittstelle offen ist, werden zu diesem Zweck alle Gespräche individuell verschlüsselt. Als Verschlüsselungsalgorithmus wird ein teilnehmereigener Primzahlen-Algorithmus verwendet, der sich auf der SIM-Karte befindet, aber nicht ausgelesen werden kann.

Angriff

Angriffe sind unerlaubte und nichtautorisierte Aktivitäten zum Schaden von Ressourcen,

attack

Dateien und Programmen. Man unterscheidet zwischen passiven und aktiven Angriffen. Passive Angriffe bedrohen die Vertraulichkeit der Kommunikation, beeinflussen aber nicht die Kommunikation oder den Nachrichteninhalt. Sie zielen ausschließlich auf die unerlaubte Informationsbeschaffung. Die Abhörsicherheit kann durch diverse Verfahren unterlaufen werden. Eines der bekanntesten ist Tempest, bei dem die elektromagnetische Strahlung von Bildschirmen, Computerboards und Datenkabel empfangen und ausgewertet wird. Ein großes Angriffspotential bieten alle Datenkabel, Telefonleitungen, Lichtwellenleiter und vor allem die Funktechnik, die besonders gefährdet ist. Ist es bei Datenkabeln die elektromagnetische 4

IT-Sicherheit Strahlung, die abgehört werden kann, so besteht bei Lichtwellenleitern die Möglichkeit diese stark zu krümmen, bis die Moden das Kernglas verlassen und die optischen Signale austreten. Bei den aktiven Angriffen werden die Nachrichten, die Komponenten des Kommunikationssystems oder die Kommunikation verfälscht. Es kann sich dabei um Angriffe kann auf Netze, um diese funktional zu stören, wie beispielsweise eine DoS-Attacke, um Angriffe auf den Zugang zu Systemen oder um die Entschlüsselung verschlüsselter Daten und Nachrichten. Ein aktiver Angreifer kann durch Einfügen, Löschen oder Modifizieren von Inhalten bestimmte Reaktionen des Empfängers auslösen und dessen Verhaltensweisen steuern. Zu diesen aktiven Angriffen gehören das Übermitteln von Viren, Würmern und Trojanern. Anwendungssicherheit application security

Der Schutz der Anwendungsebene ist ein wesentlicher Aspekt der IT-Sicherheit, da die Angriffe über Web-Applikationen erfolgen und nicht unmittelbar erkennbar sind. Die Angriffe reichen von Datendiebstahl über Wirtschaftsspionage und Datenmissbrauch bis hin zu Vandalismus. So können auf dieser Ebene Dateien mit unternehmenskritischen Informationen und schützenswerten Zugriffsberechtigungen entnommen oder E-Commerce bzw. M-Commerce auf fremden Accounts missbräuchlich ausgeführt werden. Application Security dient dem präventiven Schutz und kann durch Erkennen von IT-Risiken in die Applikationsebene implementiert werden. Bei der Anwendungssicherheit wird der Inhalt der Datenpakete überprüft und nicht der Header. Ansatzpunkte liegen in der genutzten Software, in einer möglichen Authentifizierung bei der Anwendung oder durch geeignete Verschlüsselungsmaßnahmen. So kann man beispielsweise Angriffe, die gleichartig ablaufen wie das Cross Site Scripting (XSS), durch Einbau entsprechender Codes abwehren. 5

IT-Sicherheit Authentifizierung

Unter der Authentifizierung versteht man die Aufgaben- und Benutzer-abhängige Zugangs-

authentication

und/oder Zugriffsberechtigung. Die Authentifizierung hat den Zweck Systemfunktionen vor Missbrauch zu schützen. In der Kommunikation stellt die Authentifizierung sicher, dass der Kommunikationspartner auch derjenige ist, für den er sich ausgibt. Bei der Authentifizierung wird zwischen einseitiger und gegenseitiger Authentifizierung unterschieden. In der Praxis ist meistens die einseitige Authentifizierung üblich, wobei beispielsweise beim Login der Benutzer sein Passwort eingibt und damit nachweist, dass er wirklich der angegebene Benutzer ist. Als Sicherheitsdienst für die einseitige Identifikation dient der Empfängernachweis durch den die Benutzer-Identität und damit auch der Benutzungsberechtigung gegenüber dem System nachgewiesen werden. Dazu dienen hauptsächlich Passwörter, Passwortverfahren, persönliche ID-Nummern, kryptografische Techniken sowie Magnet- oder Chip-Ausweiskarten. Eine strenge Authentifizierung kann mit der Vergabe von Einmalpasswörtern (OTP) und OTP-Token erfolgen. Darüber hinaus gibt es Authentisierungssysteme die mit biometrischen Daten arbeiten und Mehrfaktorensysteme, die auf so genannte USB-Token setzen. Sicherer als die einseitige Authentifizierung ist die gegenseitige, bei der alle Kommunikationspartner ihre Identität beweisen müssen, bevor untereinander vertrauliche Daten ausgetauscht werden. So sollte beispielsweise bei Geldautomaten dieser vor Eingabe der PIN-Nummer beweisen, dass es sich bei dem POS-Terminal um ein echtes Geldterminal handelt und nicht um eine Attrappe.

Authentizität authenticity

Authentizität ist die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung. Nach heutiger Rechtsauffassung ist die Authentizität nur dann sichergestellt, wenn die Mitteilung, 6

IT-Sicherheit beispielsweise das Schriftstück, mit Original-Unterschrift versehen ist und zwar von autorisierten Personen, die die schriftliche Willenserklärung abgeben dürfen. In einigen Fällen schreibt das Gesetz zur Bestimmung der Authentizität notarielle Beglaubigung, Beurteilung oder Beurkundung vor. Bezogen auf die Informationstechnik geht es bei der Authentizität um die Verbindlichkeit von Daten, Dokumenten, Informationen oder Nachrichten, die einer bestimmten Datenendeinrichtung oder einem Sender sicher zugeordnet werden können. Durch die Authentizität muss sichergestellt werden, dass die Herkunft solcher Information zweifelsfrei nachgewiesen werden kann. Eine Möglichkeit für den Nachweis ist die digitale Signatur (DSig). Autorisierung authorization

Die Autorisierung ist eine Berechtigung, eine explizite Zulassung, die sich auf einen Benutzer bezieht. Sie definiert, wer was in einem Netz was tun oder welche System-Ressourcen nutzen darf. Bei der Autorisierung werden dem Nutzer Rechte zugewiesen. Sie berechtigen den Benutzer eine bestimmte Aktion auszuüben. Um einen wirksamen Schutz zu erreiche, sollten bei der Rechtevergabe der Nutzer nur für die Ressourcen autorisiert werden, die er unbedingt benötigt. Eine Autorisierung setzt eine Prüfung der ausführende Person oder Kommunikationseinrichtung voraus. Erst nach der Ermächtigung kann die gewünschte Aktion oder Transaktion ausgeführt werden. So wird beispielsweise eine Transaktion mittels einer Kreditkarte zuerst durch den Kreditkartenherausgeber autorisiert, nach dem die Kartendaten überprüft wurden.

Backdoor

Backdoors sind unberechtigte Zugriffe auf Rechner und deren Datenbestände. Wie der Name sagt, erfolgt der unberechtigte Zugriff durch die Hintertür. Der Angreifer erlangt über ein verstecktes, ständig laufendes Programm häufig uneingeschränkte Zugriffsrechte. Im 7

IT-Sicherheit Gegensatz zu Trojanern ermöglichen Backdoors einen direkten Zugriff auf den betroffenen Rechner, spionieren interessante und persönliche Daten aus und ermöglichen die Manipulation von Hard- und Software. Backdoor werden häufig dazu benutzt um Viren, Würmer oder Trojaner auf dem angegriffenen Rechner zu installieren oder diesen für unbefugte Operationen wie DDoS-Attacken zu benutzen. Bedrohung threat

Ganz allgemein versteht man unter Bedrohung eine potentielle Gefahr, die durch eine Schwachstelle ausgelöst wird. Es kann sich dabei um ein Ereignis handeln, das Schaden verursacht, um einen Angriff auf ein System, eine Übertragungstrecke oder auf den Informationsinhalt einer Nachricht, um Spionage oder Sabotage oder auch um Gefahren, die unbeabsichtigt oder durch natürliche Ereignisse wie Stromausfall, absichtlich oder vorsätzlich von Mitarbeitern ausgehen. Bedrohung kann von der Technik selbst ausgehen, durch Fehlbedienungen oder Gewaltanwendung. In der Informations- und Kommunikationstechnik kann sich die Bedrohung auf die Verfügbarkeit von Systemen und Ressourcen beziehen oder ebenso auf die Integrität und Vertraulichkeit von Nachrichten. Das Potential von Bedrohungen ist unermesslich, da es sich gleichermaßen auf Systeme und Übertragungstechniken, auf Programme und Anwendungen beziehen kann. Es gibt die aktive Bedrohung bei der Informationen oder der Systemstatus verändert werden, oder die passive Bedrohung, deren Fokus sich auf das Ausspähen von Informationen bezieht. Mit der Bedrohungsanalyse werden alle möglichen Bedrohungsszenarien eines Kommunikations- oder Informationssystems erkannt, analysiert und dokumentiert. Sie 8

IT-Sicherheit bewertet die Wahrscheinlichkeit eines Angriffs und den möglichen, durch Angreifer entstehenden Schaden. Die Bedrohungsanalyse ist Teil der Risikoanalyse und dem Risikomanagement. Broadcaststurm

Broadcaststürme entstehen dann, wenn in einer Netzkonfiguration viele Stationen gleichzeitig

broadcast storm

eine Antwort an die sendende Station senden. In der Regel hat die sendende Station einen Broadcast gesendet, der gleichzeitig von vielen Stationen beantwortet wird, was mit ReBroadcasten bezeichnet werden kann. Da das Re-Broadcasten einer gewissen Wahrscheinlichkeit unterliegt, hängt die Anzahl der beantworteten Broadcast von dieser ab. Ist die Wahrscheinlichkeit gering, bekommen einige Knoten im Netzwerk keine Nachricht, ist sie dagegen hoch, verhält sich das Antwortverhalten wie beim Flooding. In der Regel handelt es sich bei Broadcaststürmen um Probleme in der Redundanz, der Konkurrenzsituation und/oder von Kollisionen. So können beispielsweise topologische Schleifen im Netzwerk Verursacher von Broadcaststürmen sein. Broadcaststürme können einen erheblichen Schaden anrichten, da sie hinlänglich Netzwerkressourcen binden und dadurch den eigentlichen Datenverkehr beeinträchtigen.

Brute-Force-Angriff brute force attack

Ein Brute-Force-Angriff stellt einen gewaltsamen Angriff auf einen kryptografischen Algorithmus dar. Das Verfahren probiert systematisch alle möglichen Kombinationen durch, um den Krypto-Algorithmus zu knacken. Brute-Force-Angriffe können ebenso auf verschlüsselte Dateien, Nachrichten und Informationen oder auch auf Passwörter angesetzt werden. Damit Brute-Force-Angriffe möglichst zeitintensiv sind, setzen die meisten Verschlüsselungssysteme sehr lange Schlüssel ein. Bei einem 32-Bit-Schlüssel wären es vier 9

IT-Sicherheit Milliarden Möglichkeiten, die die heutigen Personal Computer in Minuten durchprobiert hätten. Entsprechend länger dauert die Ermittlung eines 48-Bit-Schlüssels oder gar eines 64-BitSchlüssels, der nur in mehreren tausend Jahren zu knacken wäre. BS 7799

Der British Standard BS 7799 von 1995 führt die offizielle Bezeichnung „Code of Practise for Information Security Management“ und bildet die Prüfungsgrundlage für die Sicherheit von ITSystemen. Der britische Standard bildet eine international anerkannte Norm für die Bewertung der Sicherheit von IT-Umgebungen. Aus diesem Standard ist der internationale Standard ISO 17799 hervorgegangen, der als Referenzdokument für die Erstellung eines Informationssicherheits-Managementsystems (ISMS) dient. Das Ziel dieser Norm ist die Einführung eines Prozessansatzes, mit dem ein organisationsbezogenes ISMS entwickelt, umgesetzt, überwacht und verbessert werden kann. Bei den Zertifizierungen nach BS 7799 steht das gesamte IT-System auf dem Prüfstand und wird auf vorhandenes Risikopotenzial hin untersucht; und nicht einzelne Anwendungen, Subsysteme oder Dateien. Der Schutz sensibler Daten und wichtiger Geschäftsprozesse stehen im Vordergrund. Wichtige Aspekte des Standards sind die Definition, Spezifikation und Implementierung eines Informationssicherheits-Managementsystems (ISMS), die Entwicklung organisationsbezogener Normen und Praktiken hinsichtlich der Informationssicherheit sowie die Überwachung der Einhaltung von Vereinbarungen an die Informationssicherheit. Der Standard besteht aus zehn Kapiteln, die die Grundlagen für den praktischen Einsatz bilden: Security Policy, Security Organization, Asset Classification and Control, Personal Security, Physical and Environmental Security, Computer and Network Management, System Access Control, System Development and Maintenance, Business Continuity and Disaster Recovery 10

IT-Sicherheit Planning und Compliance. ISO 17799, das das Management von Informationssicherheit beschreibt, schafft die Voraussetzungen für die Zertifizierung eines ISMSSystems. Der Standard BS 7799 besteht aus zwei Teilen: Teil 1: Leitfaden zum Management von

Sicherheitskonzept

Informationssicherheit, Teil 2 von 1999: Spezifikation für Managementsysteme der Informationssicherheit. Im Jahre 2002 wurde der zweite

Teil an internationale Management-Standards und die OECD-Richtlinien angepasst. Damit können Unternehmen einen Sicherheitsprozess etablieren, der den Sicherheitswert systematisch auf einem zu definierenden Niveau verbessert. Das von der ISO im Herbst 2005 herausgegebene Regelwerk ISO 2700x beinhaltet in der ISO 27001 die Aspekte von BS 7799 und löst dieses ab. http://www.thewindow.to/bs7799/index.htm 11

IT-Sicherheit BSI, Bundesamt für Sicherheit in der

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde 1991 nach Inkrafttreten des BSI-Errichtungsgesetzes gegründet. Der Aufgabenbereich des BSI liegt in der Entwicklung

Informationstechnik

und Förderung von Technologien für sichere Netze für die Informationstechnik. Schwerpunkte der BSI-Aktivitäten sind der Schutz gegen Computer-Viren, die elektronische Signatur, die Internetsicherheit, der IT-Grundschutz, die Überprüfung von Sicherheitsarchitekturen und das E-Government. Verschiedenen Arbeitsgruppen befassen sich mit der Fortentwicklung des E-Government, der Bereitstellung von Computer-Dienstleistungen für Bundesbehörden sowie der Sicherheit des Internet. Das BSI erstellt Dokumente für die genannten Schwerpunkte, die über das Internet abgerufen werden können. http://www.bsi.de

CC, common criteria

„Common Criteria for Information Technology Security Evaluation“ (CC) ist die Weiterentwicklung von ITSEC, der TCSEC der USA und der kanadischen CTCPEC. Es handelt sich um weltweit anerkannte Sicherheitsstandards für die Bewertung und Zertifizierung informationstechnischer Systeme. Die Common-Criteria-Zertifizierung wurde

Entwicklung der Common Criteria (CC)

1998 von den Regierungsstellen in den USA, Kanada, Deutschland, Großbritannien und Frankreich begründet und bereits von mehreren anderen Ländern übernommen. 12

IT-Sicherheit Dabei hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei der Entwicklung der Common Criteria eine aktive Rolle übernommen. Die Common Criteria wurden von der NIST veröffentlicht und sind Sicherheitslevels nach ITSEC und Common Criteria (CC) international von der ISO standardisiert. Der Standard ISO 15408 beschreibt die Bewertung der Sicherheitsfunktionen von IT-Produkten. In den Common Criterias werden der Geltungsbereich für die sicherheitsrelevante Evaluierung beschrieben, darüber hinaus die funktionalen Anforderungen in Zusammenhang mit der Bedrohung und den Sicherheitszielen und die Anforderungen an die Vertrauenswürdigkeit. Die Klassifizierung der IT-Sicherheitsprüfung im Rahmen der Common Criteria erfolgt in sieben so genannten EAL-Stufen, die auch als Schutzprofile bezeichnet werden. Diese reichen von EAL1 für unzureichendes Vertrauen bis hin zu EAL7 für den formal verifizierten Entwurf und Test des IT-Equipments. http://www.bsi.bund.de/cc/ Compliance

Der Begriff Compliance umschreibt ein regelkonformes Verhalten eines Unternehmens in Bezug auf die gesetzlichen und regulativen Bestimmungen. Die Compliance soll sicherstellen, dass die unternehmerischen Risiken erkannt, bewertet und durch die Implementierung 13

IT-Sicherheit technischer Lösungen erfüllt werden. Die Rechtskonformität betrifft in gleichem Maße die handelsrechtliche und steuerrechtliche Dokumentation von Vorgängen, aber ebenso sicherheitsrelevante Lösungen der elektronischen Kommunikation und vor allem der Archivierung. Einschlägige Richtlinien für sicherheitstechnische Konformität finden sich in dem British Standard BS 7799, dem ITGrundschutzhandbuch des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI GsHb), in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) und in den Grundsätzen für ordnungsgemäße DV-gestützte Buchführungssysteme (GoBS). An weiteren Richtlinien und Gesetzen, die unternehmensspezifische Aspekte berücksichtigen, sind Basel II zu nennen, in denen die Eigenkapitalvorschriften festgelegt sind, die International Financial Reporting Standards (IFRS) für die Rechnungslegungen, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) mit der die Corporate Governance in deutschen Unternehmen verbessert werden soll und den Sarbanes-Oxley-Act, der bei international tätigen Unternehmen die Bilanztransparenz erhöht. Content-Sicherheit content security

Die Content-Security befasst sich mit dem Schutz der Informationen vor allen bekannten Viren, Würmern und Trojanern, sowie mit der Erkennung von neuen Gefahren und die Verhinderung von Spams. Zur Content-Security gehören Sicherheitslösungen für die Abwehr von Hackerangriffen, die über Sicherheitslücken in Netzwerken und Anwendungen Schaden anrichten. Bei der Content-Security werden die Daten hinsichtlich ihrer Integrität geprüft; des Weiteren wird geprüft ob sie verschlüsselt gesendet, empfangen und genutzt werden dürfen. Diese Sicherheitsprüfungen erfolgen nach einem festgelegten Regelwerk, den Policies, mit dem 14

IT-Sicherheit organisatorische und personenspezifische Kenndaten überprüft werden. Die Maßnahmen für die Content-Security reichen von Anti-Virus-Programmen mit denen der Web-Verkehr und alle E-Mails gescannt werden, über die Abwehr von Hackerangriffen bis hin zu nachgeschalteten Anti-Spam-Filtern, Web-Filtern und E-Mail-Filtern. Wobei die WebFilterung unerwünschte Webseiten ausfiltert und die E-Mail-Filterung die E-Mails inhaltsabhängig nach Text- und Anhängen durchsucht und entsprechend ausfiltert. Cracker

Ein Cracker ist eine Person, die unberechtigt in ein Computersystem eindringt. Ziel der Cracker - der Begriff wird oft synonym mit Hacker verwendet - ist es, die Sicherheitssysteme zu knacken und die gewonnenen vertraulichen Daten nicht zum wirtschaftlichen oder sozialen Nachteil für das betroffene Unternehmen oder die betroffene Institution auszunutzen. Cracker verursachen häufig Schäden an den Systemen, im Gegensatz zu Hackern, die meistens nur ihre spezifische Visitenkarte hinterlassen. Im deutschen Sprachgebrauch versteht man unter einem Cracker eine Person die den Kopierschutz von Systemen knackt.

CRAMM, computer risk analysis and management method

CRAMM ist ein bereits 1987 vorgestelltes Software-Paket für das wissensbasierte Risikomanagement, das dem britischen Sicherheitsstandard BS 7799 entspricht und nach ISO 17799 zertifiziert ist. CRAMM basiert auf einer toolgestützten Struktur mit der Geschäftsprozesse modelliert und Schwachstellen in IT- und Kommunikationssystemen bewertet werden können. Darüber hinaus kann CRAMM Sicherheitsvorschläge unterbreiten, Notversorgungsmaßnahmen planen, ISMS generieren und zu schützende Objekte identifizieren. Mit dem Ergebnis, das als Report ausgegeben werden kann, kann das Management Schwachstellen und Risiken in den IT15

IT-Sicherheit gestützten Geschäftsprozessen, in Software und Hardware, Netzwerken, Personal, Gebäude u.a. erfassen, bewerten und beseitigen. Crasher

Die Begriffe Hacker, Cracker und Crasher haben unterschiedliche Bedeutung. Bei einem Crasher handelt es sich um jemanden, der Vandalismus in Computersystemen ausübt, diese zum Absturz bringt und vorsätzlich Schaden anrichtet.

Datensicherheit data security

Unter Datensicherheit sind gesetzliche Regelungen und technische Maßnahmen zu verstehen, durch die die unberechtigte Speicherung, Verarbeitung und Weitergabe schutzwürdiger Daten verhindert werden soll. Ziel ist es, die Persönlichkeitsrechte des Menschen vor den Folgen der Erfassung seiner Individualdaten bei der manuellen und automatischen Datenverarbeitung zu schützen. Innerhalb eines Betriebs gehören dazu personelle, organisatorische und revisionstechnische Regelungen, außerdem geräte- und programmtechnische Schutzmechanismen. Datenschutz, Datenintegrität und Datensicherung bilden die verlässliche Informationsverarbeitung. In Deutschland ist der Datenschutz durch das „Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung“ vom 27.1.1977 im Bundesdatenschutzgesetz (BDSG) verankert. Gewerbliche oder staatliche Computeranwender mit schutzbedürftigen Daten müssen Datenschutzbeauftragte einsetzen. Darüber hinaus gibt es in Deutschland das Bundesgesetz über den Datenschutzgesetz vom 19.06.1992. Es lautet: „Wer personenbezogene Daten für sich selbst oder im Auftrag für andere elektronisch bearbeitet, muss durch geeignete Maßnahmen den Verlust und den Missbrauch dieser Daten verhindern“. 16

IT-Sicherheit DoS, denial of service DoS-Attacke

Denial of Service (DoS) sind Attacken im Internet zur Beeinträchtigung von Webservices, die damit außer Betrieb gesetzt werden. Diese Angriffe können durch Überlastung von Servern ausgelöst werden, so beispielsweise mittels der Bombardierung eines Mail-Servers mit einer so großen Anzahl von Mails, dass dieser seine Funktion wegen Überlast nicht mehr ausüben kann, oder durch die Überflutung eines Netzwerks mit Datenpaketen. DoS-Attacken zielen in der Regel nicht auf den Zugang zum Netzwerk, System oder zu den Datenbeständen ab, sondern haben das Ziel einen Dienst einzuschränken, zu blockieren oder unbenutzbar zu machen. Dazu werden die zur Verfügung stehenden Programme oder Netzwerk-Ressourcen außerordentlich überbelastet. Ein DoS-Angriff kann durch IP-Spoofing vorbereitet werden. Der Angreifer nutzt dazu eine autorisierte IP-Adresse und gelangt so in das System oder das Netzwerk, um dann seine DoSAttacke auszuführen. Neben dem Mail-Bombing, gibt es noch das SYN-Flooding, das Ping-Flooding und die DDoSAttacken. Die Evaluation Assurance Level (EAL) kennzeichnen die Vertrauenswürdigkeit in eine

EAL, evaluation assurance level

Sicherheitsleistung. Im Rahmen der Common Criteria (CC) werden sie für die Bestimmung der Sicherheitsprüfungen Sicherheitslevels nach ITSEC und Common Criteria (CC)

verwendet. 17

IT-Sicherheit Es gibt sieben EAL-Stufen, die mit den Ziffern 1 bis 7 gekennzeichnet sind und mit steigender Ziffer einen höheren Sicherheitsstandard repräsentieren. So bietet die EAL-Stufe EAL1 einen einfachen Funktionalitätstest, der ein unzureichendes Vertrauen in die IT-Sicherheitsprüfungen darstellt; EAL7 bietet als höchster Sicherheitstandard eine formal logische Verifizierung. Anhand der EAL-Stufen ist eine Vergleichbarkeit der Sicherheitsfunktionalitäten von Programmen und Systemen gegeben. Allerdings sind bei der Bewertung der Sicherheitsleistungen die Schwachstellen, über die Eindringlinge in das oder Attacken auf das System ausgeführt werden können, zu analysieren. Flaming

Flaming ist ein Internet-Jargon für eine bösartige, oft persönliche oder gar beleidigende Angriffe auf den Verfasser eines Artikels in einer Newsgroup, in Diskussionsforen oder auch beim Schreiben von E-Mails. Flaming sind verbale Auswüchse, die gegen die Netiquette verstoßen und unterbleiben sollten.

Hacker

Unter Hacker versteht man Personen, die sich über öffentliche Netze oder IP-Netze unberechtigten Zugang zu anderen Systemen verschaffen und versuchen auf den Datenbestand in fremden Systemen zuzugreifen. Der unberechtigte Zugang erfolgt in der Regel unter Umgehung der Sicherheitssysteme. Das Eindringen kann bei der Datenübertragung, auf den Leitungen, den Übertragungskomponenten oder Protokollen stattfinden. Als Gegenmaßnahmen gegen Hacker empfehlen sich u.a. das regelmäßige Auswechseln von Passwörtern, die Beseitigung von Schwachstellen im System, das Abschalten von nicht genutzten Systemdiensten, das Callback als Kommunikationsroutine, die Überwachung von Service-Eingängen und der Einsatz von IDS-Systemen. 18

IT-Sicherheit Heuristik heuristics

Heuristik ist die Lehre von Methoden zum Auffinden neuer Erkenntnisse. Heuristische Verfahren werden beispielsweise beim Aufspüren neuer Viren angewendet und zwar vorwiegend in dem Zeitraum, in dem noch kein neues Update für die Virenscanner entwickelt wurde. Um zu verhindern, dass in dem Zeitraum in dem die Hersteller die Updates für neue Viren entwickeln, der Schaden durch ein neues Virus möglichst gering gehalten wird, werden die Schädlinge mittels heuristischer Verfahren abgefangen. Hierbei suchen die Virenscanner nach verdächtigen Codes, der beispielsweise die Festplatte formatiert oder unerwartete Online-Verbindungen aufbaut. Das Erkennen solcher Phänomene wird vom Virenscanner angezeigt.

Hijacking Das englische Wort Hijacking steht für Entführung. Es wird in IP-Netzen für Angreifer benutzt, in denen der Angreifer eine Domain oder eine aktive IP-Sitzung übernimmt. Der Angreifer schlüpft dabei nach der Autorisierung des Nutzers in dessen Rolle und übernimmt die IPVerbindung. Beim UDP-Prokoll ist das Vorgehen besonders einfach, da es nicht verbindungsorientiert arbeitet. Anders ist es beim TCP-Protokoll, bei dem der Angreifer die Sequenznummer erraten muss. Ziel des Hijacking ist es, sich fremde Informationen und Datenbestände anzueignen. Daher kann das Hijacking auf den Content ausgerichtet sein, dann handelt es sich um ContentHijacking, aber auch auf Domains, man spricht dann von Domain-Hijacking. Beim ContentHijacking geht es um fremde Inhalte, an denen der Angreifer interessiert ist und die er sich aneignen möchte. Ein solcher Content-Angriff auf eine Domain kann beispielsweise dazu dienen den PageRank von der Website, von der der Content entnommen wurde, zu verschlechtern und gleichzeitig den eigenen zu erhöhen. Beim Domain-Hijacking geht es um registrierte, aber bereits gelöschte Websites. Diese sind 19

IT-Sicherheit dann von besonderem Interesse, wenn viele Hyperlinks auf diese Website hinweisen und diese einen höheren PageRank besitzen. Der Angreifer bestückt die besetzte Domain mit eigenen Inhalten und profitiert von dem vorhandenen PageRank. Hoax

Hoaxes sind elektronische Falschmeldungen, die bewusst durch Dritte über E-Mails verbreitet werden. Die Hoaxes enthalten Text, der in die Irre führen soll wie eine Zeitungsente oder ein Aprilscherz, richten aber keinen direkten Schaden an. Um eine weite Verbreitung zu finden, werden sie als Kettenbrief gehandhabt. Eine Hoax kann alle Themenbereiche tangieren, die Warnung vor einem Virus, Unternehmensund Börsennachrichten, den Umweltschutz, das Wetter bis hin zu weiteren Warnhinweisen. Sie verbreiten sich extrem schnell und werden von Virenscannern nicht erkannt. In Hoaxes finden sich in der Regel Aufrufe, diese auch an Bekannte und Kollegen weiterzuleiten.

Identifikation identification

Die Identifikation ist die Überprüfung einer Person oder eines Objektes in Bezug auf vorgelegte, eindeutig kennzeichnende Merkmale, die Identität. Diese Identität kann anhand von eindeutigen Merkmalen, die denen eines Ausweises entsprechen, überprüft werden. Oder auch mittels Passwörtern und gespeicherten Referenzpasswörtern. Für die Identifizierung gibt es verschiedene Medien und Verfahren; u.a. Chipkarten, Magnetkarten, Smartkarten und biometrische Verfahren. Darüber hinaus werden in der Warenwirtschaft Strichcodes, 2D-Codes und RFID für die eindeutige Warenkennzeichnung eingesetzt. Bei der biometrischen Identifikation werden individuelle, körperspezifische Merkmale wie der Fingerabdruck, das Gesichtsfeld oder die Iris für die Identifikation genutzt. 20

IT-Sicherheit Identität identity

Eine Identität ist der eindeutige Identifikator für eine Person, Organisation, Ressource oder einen Service zusammen mit optionaler zusätzlicher Information (z.B. Berechtigungen, Attributen). Die Identität umfasst eindeutig kennzeichnende Merkmale. Es gibt verschiedene Techniken zur eindeutigen Identitätskennzeichnung wie die ID-Nummer oder der elektronische Schlüssel, der die Identität eines Benutzers sicherstellt, und diverse Verfahren zur Prüfung und Feststellung der Identität.

Informationssicherheit information security

Informationssicherheit ist der Präventivschutz für Persönlichkeits- und UnternehmensInformationen und ist auf kritische Geschäftsprozesse fokussiert. Ein solcher Schutz bezieht sich gleichermaßen auf Personen, Unternehmen, Systeme und Prozesse und wird durch Integrität, Verfügbarkeit, Vertraulichkeit, Verbindlichkeit, Nachweisbarkeit und Authentizität erzielt. Die Informationssicherheit soll den Verlust, die Manipulation, den Schwachstellen in der Informationssicherheit

unberechtigten Zugriff und 21

IT-Sicherheit die Verfälschung von Daten verhindern. Die Basis für die Informationssicherheit kann durch konzeptionelle, organisatorische und operative Maßnahmen erreicht werden. Dazu gehört die Umsetzung von sicherheitsrelevanten Grundsätzen eines Unternehmens, die so genannte Informationssicherheitspolitik. In dieser sind die Ziele des Unternehmens und die Realisierung festgelegt. Ein wichtiger Ansatz für die Sicherheit von Informationssystemen ist der British Standard BS 7799 sowie der ISO-Standard 17799 als Implementierungsleitfaden. Diese beiden Sicherheitsstandards werden in der Security-Norm ISO 27001 berücksichtigt. Internetsicherheit Internet security

Als weltweit größter Netzverbund bietet das Internet Angreifern hinreichende Möglichkeiten, sich unberechtigten Zugriff auf Datenbestände und Ressourcen zu verschaffen, Datenbestände und übertragene Daten zu manipulieren und zu sabotieren. Die technischen Möglichkeiten für das unberechtigte Eindringen in fremde Datenbestände

Übertragungsstrecke mit Web-Shield

reichen vom Abhören von Passwörtern, über das IP-Spoofing, bei dem sich der 22

IT-Sicherheit Eindringling einer gefälschten IP-Adresse bedient, über das IP-Hijacking, bei dem der Angreifer eine bestehende IP-Verbindung übernimmt, den Replay-Angriff, bei dem der Angreifer gezielt vorher gesammelte Informationen einsetzt, um dadurch fehlerhafte Transaktionen auszuführen, über das SYN-Flooding, einem gezielten Angriff auf den Server, um diesen durch Überlast von seinen eigentlichen Aufgaben abzulenken, bis hin zum Man-in-theMiddle-Angriff, einer Attacke, bei der die Kommunikation zwischen zwei Partnern abgefangen und manipuliert wird. Wirkungsvolle Maßnahmen gegen diese Bedrohungen der Internetsicherheit bieten so genannte Web-Shields, die als Application Layer Gateway (ALG), auch bekannt als Web Application Firewall (WAF), agieren. Im Gegensatz zu klassischen Firewalls und IDS-Systemen untersuchen die genannten Systeme die Kommunikation auf der Anwendungsebene. ISMS, information security management system

Ein Informationssicherheits-Managementsystem (ISMS), das nach der Normenreihe ISO 2700x zertifiziert wird, erfüllt die Voraussetzungen für ein qualifiziertes Sicherheitsmanagement. Ein solches ISMS-System, bestehend aus Richtlinien, Maßnahmen und Tools, beherrscht spezifische IT-Risiken und garantiert die geforderte IT-Sicherheit. Ein ISMS-System mit einem Prozess-orientierten Ansatz bildet die Grundlage für das Unternehmen und dessen Positionierung hinsichtlich der Informationssicherheit. In einem solchen Ansatz sollten die Bedeutung, die Anforderungen und die Ziele der Informationssicherheit festgelegt sein. Des Weiteren sollte die Effektivität des ISMS kontrolliert und das System ständig nachvollziehbar verbessert werden. Bei diesem Prozessorientierten Ansatz kann jede Aktivität, die Ressourcen nutzt, als Prozess betrachtet werden. Wobei jeder Prozess den Input für den folgenden Prozess bilden kann. Ein ISMS-System muss in allen Hierarchieebenen eines Unternehmens implementiert sein und 23

IT-Sicherheit von Verantwortlichen betreut werden. In der Implementierung eines solchen Systems spiegelt sich die Organisation mit ihren unternehmerischen Anforderungen wider. Die Normenreihe ISO 2700x behandelt die Thematik ISMS, dabei geht die Norm ISO 27001 auf die Zertifizierungsanforderungen ein und ISO 27003 gibt Anleitungen für die Entwicklung und die Implementierung eines Information Security Management Systems (ISMS). ISO 17799

Der im Jahre 2000 verabschiedete internationale Standard ISO 17799 für die IT-Sicherheit ist aus dem British Standard BS 7799 hervorgegangen. Der Standard mit dem Titel „Code of Practice for Information Security Management“ bietet eine Auswahl an Kontrollmechanismen, die auf Methoden und Verfahren basieren, die sich in der IT-Sicherheit bewährt haben. In dem Standard werden keine konkreten Sicherheitslösungen empfohlen; allerdings sollten Unternehmen und Organisationen aller Branchen die im Standard aufgeführten Richtlinien beachten und umsetzen. Die ISO hat mit ISO 17799 ein formelles Anerkennungs- und Zertifizierungsverfahren für die Einhaltung der Standards eingeführt, wodurch sich die allgemeine Qualität des Standards verbessert hat. Dieser Standard, der den ersten Teil von BS 7799

Vom BS 7799 über die ISO 17799 zur ISO 27002

umfasst, ist weltweit akzeptiert. Im Jahre 2005 wurde ISO 17799 überarbeitet und in der neuen Fassung unter der Normenreihe ISO 2700x als ISO 27002 veröffentlicht. 24

IT-Sicherheit ISO 17799 ist eine Sammlung von Empfehlungen, die für die IT-Sicherheit und das Business Continuity Management (BCM) angewendet werden. Diese Richtlinien haben sich in der Praxis bewährt können in allen Hierarchieebenen von Unternehmen, Institutionen und Organisationen eingesetzt werden. Da die Vielfalt der Sicherheitsaspekte von der Systemumgebung und der Unternehmensorganisation geprägt ist, ist ISO 17799 ein flexibler Standard, der eigene Interpretationen zulässt. IT-Sicherheit IT security

Die IT-Sicherheit tangiert alle technischen Maßnahmen zur Verringerung des Gefährdungspotenzials für ITAnwendungen und -Systeme. Alle mit dem Gefährdungspotenzial in Zusammenhang stehenden Schutzmaßnahmen, wie die Entwicklung von Sicherheitskonzepten, die Vergabe von Zugriffsberechtigungen und die

Sicherheitskonzept

Implementierung von Sicherheitsstandards, sind Aspekte der IT-Sicherheit. ITSicherheit ist die technische 25

IT-Sicherheit Umsetzung der Sicherheitskonzepte unter wirtschaftlichen Aspekten. Die IT-Sicherheit umfasst alle gefährdeten und daher schützenswerten Einrichtungen, Systeme und Personen. Dazu gehören u.a. Gebäude, Netze, Hardware und Software sowie die an den Systemen Arbeitenden. Ziel der IT-Sicherheit ist es, die Verfügbarkeit von Systemen und Daten sicherzustellen, die Vertraulichkeit zu gewährleisten, damit weder Unbefugte auf Dateien zugreifen können und die Dateien auch bei der Übertragung weiterhin vertraulich bleiben, die Sicherstellung der Authentizität und der Integrität der Daten. Für die physikalische IT-Sicherheit gibt es mehrere nationale und europäische Standards, so die Definition der Brandabschnitte nach DIN 4102 oder die in den EN-1047-Standards spezifizierten Belastungsgrenzen für Daten und Systeme. Darüber hinaus gibt es Richtlinien und Güteklassen für den Einbruchschutz mit der Beschreibung des Mauerwerks. Die Information Technology Security

ITSEC, information technology security evaluation criteria

Evaluation Criteria (ITSEC) sind europäische Sicherheitsstandards, die der Bewertung und Zertifizierung der Sicherheit von IT-Systemen dienen. Es handelt sich um eine technisch orientierte, produktbezogene Sicherheitsrichtlinie.

Entwicklung der ITSEC

ITSEC ist aus verschiedenen europäischen Sicherheitsrichtlinien, den UK Confidence Levels, German Criteria, French Criteria und dem US Orange 26

IT-Sicherheit Book TCSEC hervorgegangen. Die Kriterien sind in einem Katalog zusammengefasst und sind nur für den europäischen Raum gültig. Das Vertrauen in die Sicherheitsstufen von ITSEC ist in sogenannte Evolutionsstufen gegliedert. Es gibt die Stufen E0, was ein unzureichendes Vertrauen widerspiegelt, bis E6 für höchstes Vertrauen. Je höher die Evolutionsstufe, desto fachkundiger sind die Eindringlinge. Die Evaluierung beinhaltet die Prüfung und Bewertung der Sicherheitseigenschaften eines ITProdukts nach den festgelegten Sicherheitskriterien. Die Weiterentwicklung des ITSEC sind die Common Criteria for Information Technology Security Evaluation. Die ITSEC, die 1991 von der EU-Kommission verabschiedet wurde und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) angewendet wird, ist das europäische Gegenstück zur amerikanischen TCSEC. Aus beiden wurden die Common Criteria (CC) entwickelt. Makrovirus macro virus

Makroviren werden im Gegensatz zu normalen Viren in einer Makrosprache erstellt und befallen im Gegensatz zu diesen Dokumente der jeweiligen Host-Anwendung. Da Makros wiederkehrende Tastatureingaben und Programmabläufe automatisieren helfen, können Computerviren über Makroprogramme erstellt und reproduziert werden. Makroviren sind in Dokumenten eingelagert und werden bei Aufruf und Weitergabe der Dateien verteilt. Durch diese einfache Verbreitung können Makroviren enorme Schäden verursachen, beispielsweise durch Veränderung der Zahlen in einer Tabellenkalkulation.

Malware

Unter den Oberbegriff Malware fallen alle unerwünschten Software-Aktivitäten, die die ITSicherheit oder die Funktionsfähigkeit von Computern und Systemen beeinträchtigt. Dazu 27

IT-Sicherheit zählen im Einzelnen Viren, Trojaner und Würmer, Flooding und DoS-Attacken, Spyware, Spams, Hoaxes usw. Bei Malware handelt es sich immer um Aktivitäten, die vom Benutzer nicht erwünscht sind. Die technischen Verfahren mit denen die Malware-Aggressoren ihre Opfer ausspähen sind auf einem hohen technischen Niveau. Gängige Antiviren- und Anti-Malware-Programme sind auf nicht in der Lage die Angriffe zu erkennen oder aufzuspüren. Wenn die Malware-Angriffe ihre Aufgaben erfüllt und Konstruktionspläne, Kontennummern oder andere Informationen ausgespäht haben, verwischen die Programme ihre eigenen Spuren. Häufig kann der entstandene Schaden und das Eindringen erst dann rekonstruiert werden, wenn der Privatmann oder das Unternehmen bereits geschädigt wurde. Man-in-the-Middle-

Man-in-the-Middle ist ein Angriff auf den Kommunikationskanal zwischen zwei Partnern. Der

Angriff man-in-the-middle attack

Angreifer versucht dabei den Kommunikationskanal unter seine Kontrolle zu bringen, und zwar in der Art und Weise, dass die Kommunikationspartner nicht feststellen können ob sie miteinander oder mit dem Angreifer kommunizieren. Man-in-the-Middle-Angriffe können dann erfolgreich sein, wenn für die Verschlüsselung PublicKey-Verfahren ohne signierte Zertifikate benutzt werden, wie beispielsweise bei HTTPS. Abhilfe gegen Man-in-the-Middle-Angriffe schafft nur eine eindeutige Identifikation der Teilnehmer, ohne dem Angreifer die Identifikation preiszugeben.

Netzwerksicherheit network security

Die Netzwerksicherheit ist eine Symbiose aus Richtlinien und Vorschriften, aus Produkten und Diensten. Sie tangiert alle Unternehmensebenen, vom Benutzer über den Administrator bis hin zur Unternehmensführung. Es ist ein Maßnahmenkatalog in Form einer Security Policy, die dafür sorgen muss, dass die Zugriffsberechtigung, Autorisierung, Identifikation und 28

IT-Sicherheit Authentifizierung verwaltet werden, dass jede Attacke, jeder unerlaubte Zugriff, jede Art der Sabotage, der Manipulation, des Missbrauchs und der Beeinflussung der Datenbestände und Ressourcen verhindert oder unmittelbar erkannt wird und dass das Einschleusen von Viren, Würmern oder Trojanern, DoS-Attacken oder IP-Spoofing nicht möglich ist. Ausgehend von einem solchen Maßnahmenkatalog können technische Lösungen implementiert werden. An netzwerkumfassenden Konzepten gibt es Network Access Control (NAC) von Cisco und anderen Unternehmen, Network Access Protection (NAP) von Microsoft und Trusted Network Connect (TNC) von der Trusting Computing Group. Perimeter-Sicherheit perimeter security

Perimeter-Sicherheit betrifft die Sicherheit am Übergang zwischen dem Unternehmensnetz und dem Internet. Für die Perimeter-Sicherheit sind bestimmte Richtlinien definiert, die die ITTechnik des Unternehmens gegen das Gefahrenpotential schützen, das durch Viren, Würmer und Hacker verursacht wird. Zu den in den Richtlinien genannten Möglichkeiten gehören Firewalls, Virenscanner und Anti-Viren-Software sowie Web-Filtertechniken.

Phishing

Mit der Wortschöpfung Phishing, das sich aus Passwort und Fishing zusammensetzt, ist ebenso wie das Pharming eine Technik, bei der der Angreifer versucht, die persönliche Identifikations-Nummer (PIN) und die Transaktionsnummer (TAN) von Bankkunden über das Internet abzufragen und damit Finanztransaktionen durchzuführen. Die Angreifer, die Phisher, fragen über gefälschte Bank-Homepages die vertraulichen Daten ab. Zu diesem Zweck wird eine nachgemachte Homepage eines Geldinstituts ins Internet gestellt. Nach dem Zufallsprinzip werden E-Mails mit einem Link auf die gefälschte Hompage versandt. In diesen E-Mails werden Sicherheitsaspekte oder bankrelevante Themen behandelt mit dem 29

IT-Sicherheit Hinweis auf die angebliche Homepage. Die in die nachgebildeten Hompages eingetragenen persönliche Identifikationsnummern und Transaktionsnummern werden ausgefiltert und stehen den Angreifern unmittelbar für unberechtigte Finanztransaktionen auf der richtigen Homepage zur Verfügung. Da das Phishing wegen Beispiel, in der die Postbank auf gefälschte Home-Pages zum Zwecke des dessen Vorgehensweise Phishings hinweist nicht mehr den erhofften Erfolg zeitigt, wurde es verfeinert zum Spear-Phishing. Bei dieser Methode werden die Opfer ganz gezielt angegangen in dem sich die Phisher als alte Bekannte ausgeben und dazu harmlose Informationen aus Social Networks benutzen. Das darüber aufgebaute Vertrauen nutzen die Phisher um über Formulare einen Link anzuklicken über den eine Ominöse Software geladen wird. Phreaking

Das Phreaking ist eine ältere Methode zu Umgehung von Telefonkosten, die ursächlich mit den Vermittlungstechniken in Telefonnetzen und dort im Besonderen mit der Signalisierung 30

IT-Sicherheit zusammenhängt. Die Kreativität der Phreaker, das sind Diejenigen die das Phreaking beherrschen, hat sich nicht nur auf das Nachbilden von Signalisierungssequenzen beschränkt. Phreaker analysieren und modifizieren die Schwachstellen der verschiedenen Einwahltechniken und Bezahlformen, einschließlich der Telefonkarten oder Callingcards, und setzen die Erkenntnisse konsequent zum eigenen kostenlosen Telefonieren ein. Was die Signalisierung betrifft, so arbeiten Fernmeldenetze in den USA, in Kanada, Australien und China mit der älteren C5-Signalisierung, die als Innenband-Signalisierung mit Zweitonund Mehrtonverfahren im Sprachkanal arbeitet, also keinen unabhängigen Signalisierungskanal benutzt, wie beispielsweise das Signalisierungssystem Nr. 7 (CCS7). Die Steuersignale und sequenzen der C5-Signalisierung können somit direkt aus dem Sprachkanal ausgefiltert und für eigene Zwecke missbraucht werden. Da die Betreibergesellschaften die Steuersequenzen wegen des Phreaking ändern, arbeiten die Phreaker mit Frequenzscannern, die die Frequenzen automatisch scannen, die Sequenzen aufzeichnen und das Ganze noch in einen Softwaredialer einbringen. Über das Monitoring der Carrier können Phreaker mittels Fangschaltung erfasst werden. Das Phreaking, das besonders bei internationalen Verbindungen interessant ist, ist ein globales Problem. National ist das Phreaking, bedingt durch die verwendete AußenbandSignalisierung schwierig. PnP-Sicherheit

Plug-and-Play (PnP) ist ein Schnittstellenkonzept für das konfliktfreie Anschließen von

plug and play security

Peripheriegeräten an einen Personal Computer. Das schnelle Erkennen der angeschlossenen Peripheriegeräte bietet aber nicht nur Vorteile, sondern auch diverse Risiken, da durch unberechtigten Zugriff wichtige Daten aus den Personal Computern (PC) kopiert, ebenso aber auch Daten, Viren und Trojaner über die Plug-and-Play-Schnittstelle in das Firmennetz 31

IT-Sicherheit eingespeist werden können. In diesem Zusammenhang darf die Entwicklung der Mobilspeicher wie dem USB-Stick nicht außer Acht gelassen werden. Dieses Risiko wird durch drahtlose Schnittstellen wie Wireless-USB noch erhöht, da der Anwender häufig nicht erkennen kann, wer mit seinem Computer gerade kommuniziert. Die Betriebssysteme bieten keine Möglichkeit der Schnittstellenkontrolle. Sicherheitsaspekte von Schnittstellen ist daher ein Thema der Netzwerk- und IT-Sicherheit. Bei der Absicherung der Schnittstellen kommt es auf die konsequente Umsetzung der Sicherheitsregeln an. Diese Umsetzung kann durch Sicherheitsmodule vorgenommen werden, die die Nutzung der PnP-Geräte überwachen. Die Echtzeitüberwachung von Schnittstellen und Peripheriegeräten ist ein Punkt bei der Lösung der Schnittstellen-Sicherheitsproblematik, die automatische Geräteerkennung und schnelle Freigabe ein weiterer. Die PnP-Geräte, die eine Zugangsberechtigung haben, werden zentral oder direkt am Arbeitsplatz über Fernzugriff registriert. Die Einstellungen können entweder direkt im Active Directory von Windows oder im NetWare Directory Service (NDS) zentral verwaltet werden. Risiko

Unter Risiko versteht man die Wahrscheinlichkeit für den Eintritt eines Schadensfalles. Ein

risk

solches Schadensereignis kann in der IT-Technik durch bestimmte Schwachstellen in den Systemen, Komponenten, Kommunikationsnetzen oder Software auftreten, die zufällig oder vorsätzlich ausgenutzt werden. Das bedeutet, dass die Sicherheit der Systeme unmittelbar von dem Risiko abhängig ist: Je höher das Risiko, desto geringer ist die vorhandene Sicherheit und umgekehrt. Das Risiko beginnt da, wo die Sicherheit aufhört. Je höher die Sicherheit veranschlagt wird, desto geringer ist das Risiko. Werden die risikobehafteten Schwachstellen durch methodische Verfahren ermittelt, spricht man von Risikoanalyse. Bei einer solchen Analyse werden technische und menschliche 32

IT-Sicherheit Schwachstellen erforscht, damit die Häufigkeit und die Länge der Schadensfälle eingeschränkt und reduziert werden kann. Die Ergebnisse der Risikoanalyse fließen in das Risikomanagement ein. Risiken lassen sich klassifizieren nach den Objekten, den Aktivitäten, den Urhebern und der Ursache, nach der Häufigkeit und der Schadenshöhe. Risikoanalyse risk analysis

Die Risikoanalyse arbeitet mit methodischen Verfahren und beschäftigt sich mit der Erkennung und Bewertung von Gefahren und Bedrohungen, denen die Informationssysteme ausgesetzt sind. Sie erforscht menschliche und technische Schwachstellen um die Schadensfälle zu analysieren und deren Häufigkeit und Dauer zu reduzieren. Neben der analytischen Bewertung des Risikos und der Abschätzung der Faktoren der Risikoanalyse

Wahrscheinlichkeit zukünftiger Gefahren, geht es bei der

Risikoanalyse um die Konsequenzen und die Kosten, die sich aus den Ausfallzeiten der ITSysteme und einem möglichen Datenverlust ergeben. Die Ergebnisse der Risikoanalyse gehen unmittelbar in das Risikomanagement ein.

33

IT-Sicherheit Sabotage

Im Kontext mit ITWissen.info und den darin behandelten Themenbereichen der Datenkommunikation und der Informationstechnik ist Sabotage als ein vorsätzlicher Eingriff in ein System, Netzwerk oder Programm um dessen Funktion zu beeinträchtigen und den wirtschaftlichen Ablauf zu stören. Sabotage gefährdet die Daten- und Netzwerksicherheit sowie die Informations- und IT-Sicherheit. Sie stellt eine Bedrohung dar und kann sich auch auf die Beschädigung von Einrichtungen oder Systemen beziehen. Im Gegensatz zur Manipulation setzt die Sabotage kriminelle Energie voraus.

Schwachstelle vulnerability

Der Begriff Vulnerability, zu Deutsch Schwachstelle, wird in der Informationssicherheit in dem Sinne benutzt, als dass es sich um einen Fehler der Software handelt, der von Hackern genutzt werden kann und ihnen den Zugriff auf Systeme oder Netzwerke ermöglicht. In Zusammenhang mit den Common Vulnerabilities and Exposures (CVE) geht es bei der Vulnerability um die Verletzung der Sicherheitspolitik eines IT-Systems durch einen Angreifer. Das Vulnerability Management (VM) erarbeitet Verfahren und Prozesse um die sicherheitsrelevanten Schachstellen in IT-Systemen zu erkennen und beseitigen.

Schwachstellenmanagement VM, vulnerability management

Das Vulnerability Management (VM) befasst sich mit den sicherheitsrelevanten Schachstellen in IT-Systemen. Mit dem VM-Management sollen Prozesse und Techniken erarbeitet werden, mit denen zur Steigerung der IT-Sicherheit eine Sicherheitskonfiguration in Unternehmen eingeführt und verwaltet werden kann. Das Vulnerability Management umfasst die Schwachstellenanalyse unter Berücksichtigung der in den Standards BS 7799 resp. ISO 17799 detailliert beschriebenen Faktoren Mensch, Maschine, Umgebung und Daten. Darüber hinaus spielt beim VM-Management das Common Vulnerability Scoring System (CVSS), mit dem ein Rating- Index erstellt wird, eine wesentliche Rolle. 34

IT-Sicherheit Sicherheit security

Unter Sicherheit sind alle technischen und organisatorischen Maßnahmen zu verstehen die Daten schützen. Dieser Schutz wird bei den Bedienenden realisiert, in Systemen und Computern, bei der Übertragung sowie in Diensten und Anwendungen. Unter Berücksichtigung des möglichen Gefährdungspotentials werden Sicherheitsmechanismen implementiert, die das Eindringen in Systeme, das Abhören der Übertragungswege, die Manipulation, die Sabotage und das Löschen von Datensätzen verhindern soll. Zu den personenbezogenen Schutzmechanismen gehören die Autorisierung und Authentifizierung durch Passwörter oder persönlicher Identifikationsnummer (PIN), biometrische Daten oder Signaturen. Die systembezogenen Sicherheitskriterien gehören zur IT-Sicherheit und umfassen technische und organisatorische Maßnahmen. Dazu gehören die Installation eigener Sicherheitsarchitekturen mit Firewalls, das Sicherheitsmanagement und die Schlüsselverwaltung. Kennzeichnend für die übertragungstechnische Sicherheit, die Netzwerksicherheit und die Internetsicherheit, sind die Verschlüsselungsverfahren und die Datenübertragung mit Sicherheitsprotokollen. Anwendungsorientierte Schutzmaßnahmen haben branchenspezifische Eigenschaften, wie beispielsweise bei geschäftlichen Transaktionen, bei denen digitale Signaturen und Transaktionsnummern die Sicherheit verbessern. Unter Sicherheit fallen alle Kriterien, die die Integrität, Verfügbarkeit, Vertraulichkeit, Verbindlichkeit, Betriebssicherheit und Authentizität betreffen.

Sicherheits-ID SID, security identifier

Die Sicherheits-ID (SID) dient der eindeutigen Identifizierung eines Benutzer in einem Sicherheitssystem. Sicherheits-IDs können einzelnen Personen oder ganzen Benutzergruppen zugewiesen werden. Bedingt durch die Vielzahl an Benutzernamen ist es möglich dass im Netz viele 35

IT-Sicherheit Doppeldeutigkeiten auftreten, die entsprechende Probleme verursachen. Aus diesem Grund wird mit dem Security Identifier (SID) jedem Benutzer eine eindeutige Kennung zugewiesen, die kein anderer Benutzer hat. Mit der SID-Kennung, die von den Betriebssystemen unterstützt werden, werden dem Benutzer in aller Regel auch Rechte zugewiesen und er ist im gesamten Netzwerk unter dieser SID-Kennung identifizierbar. Wird der Benutzername aus dem Netzwerk gelöscht, dann erlischt auch sein Security Identifier. Unter Windows besteht der Security Identifier aus der Revisionsnummer des Betriebssystems, der Identifier Authority, der Domain-ID und der Benutzer-ID. Sicherheitsarchitektur security architecture

Die Sicherheitsarchitektur der ISO bildet den zweiten Teil des OSI-Referenzmodells und ist die Basis für die Integration von Sicherheit in offenen Kommunikationssystemen. Die OSISicherheitsarchitektur beschreibt keine bestimmte Technologie, wie Sicherheit in offenen Systemen erreicht wird, sondern sie befasst sich mit den Sicherheitsaspekten in offenen Kommunikationssystemen und definiert die zugehörige Gedanken- und Begriffswelt sowie Richtlinien und Maßnahmen um vorhandene Standards zu verbessern und neue zu entwickeln. Die OSI-Sicherheitsarchitektur stellt die Beziehungen zwischen den Sicherheitsdiensten und mechanismen mit den Schichten des OSI-Referenzmodells her. Die verschiedenen Sicherheitsdienste und -mechanismen sind auf allen sieben Schichten des OSIReferenzmodells angesiedelt; von der Bitübertragungsschicht bis hin zur Anwendungsschicht.

Sicherheitsdienst security service

Sicherheitsdienste sollen Angriffe abwehren. Es handelt sich dabei um Technologieunabhängige Sicherheitsmaßnahmen, die durch ihre Leistungsmerkmale genau definiert sind und in die Schichtenstruktur der Sicherheitsarchitektur eingebunden werden. Die fünf primären Sicherheitsdienste Vertraulichkeit, Integrität, Authentifizierung, Zugriffskontrolle und 36

IT-Sicherheit Unwiderrufbarkeit werden durch Sicherheitsmechanismen realisiert. Neben den genannten Sicherheitsdiensten gibt es weitere, die detaillierter sind, wie die Unversehrtheit der Nachricht oder der Kommunikationsnachweis. Jeder Sicherheitsdienst basiert auf einem oder mehreren Sicherheitsmechanismen. Ein Sicherheitsdienst ist die Vertraulichkeit, mit der sichergestellt wird, dass nur Befugte auf entsprechende Informationen zugreifen können. Sie schützt vor passiven Angriffen und damit vor dem unbefugten Mitlesen von übertragenen Nachrichten und gespeicherten Informationen. Bei den aktiven Angriffen steht die Veränderung der

Sicherheitsdienste und deren -mechanismen

Information und die damit einhergehende Reaktion des Empfängers im Vordergrund. Die Vertraulichkeit basiert auf den 37

IT-Sicherheit Sicherheitsmechanismen Verschlüsselung und Integrität. Der Sicherheitsdienst Datenintegrität überprüft die Datenunversehrtheit und zeigt an ob Datenströme verändert, manipuliert, modifiziert, gelöscht oder vertauscht wurden. Ein weiterer Sicherheitsdienst ist die Zugriffskontrolle, die durch entsprechende Mechanismen die Möglichkeiten des unberechtigten Zugriffs auf Programme und Daten weitestgehend eingeschränkt. Mit der Vertraulichkeit wird sichergestellt, dass Informationen nur für Befugte zugänglich sind. Die Authentifikation des Kommunikationspartners und des Ursprungs der Nachrichten, der Empfänger- und Urhebernachweis, sind weitere sicherheitsrelevante Dienste. Unter einer Public Key Infrastructure (PKI) versteht man eine Umgebung, in der

Sicherheitsinfrastruktur PKI, public key infrastructure

Services zur Verschlüsselung und digitalen Signatur auf Basis von PublicKey-Verfahren bereitgestellt werden. Bei

Strukturierung der PKI

dieser Sicherheitsstruktur wird der öffentliche Schlüssel eines Zertifikatnehmers (ZN) mit den entsprechenden Identifikationsmerkmalen 38

IT-Sicherheit durch eine digitale Signatur von einer Zertifizierungsinstanz (CA) autorisiert. Die Instanzen der Sicherheitsinfrastruktur sind dabei für das gesamte Schlüssel-Management zuständig. Der Einsatz von PKI bietet eine vertrauenswürdige Netzwerkumgebung, in der Kommunikation vor unberechtigtem Zugriff durch Verschlüsselung geschützt und die Authentizität des Kommunikationspartners durch die digitale Signatur gewährleistet ist. Die verschiedenen Anwendungen der PKI sind kryptografisch geschützt. Dazu gehören der Schutz von E-Mail-Anwendungen, von Desktopsystemen und von webbasierten Anwendungen, von ECommerce, sowie die Zugriffskontrollen und die sichere Kommunikation in VPNs. Die PKI nutzt zwei Schlüssel mit einer typischen Länge von 1024 bis 2048 Bit. Einen privaten, den nur der Besitzer und die Zertifizierungsstelle kennen und der auch nie ausgelesen oder verschickt wird, sowie einen öffentlichen Schlüssel, der dem jeweiligen Geschäftspartner bekannt gemacht werden muss. Die PKI-Architektur besteht aus den Instanzen Policy Certification Authority (PCA), Certification Authority (CA), Registration Authority (RA) und dem Zertifikatnehmer, die unterschiedliche Aufgaben realisieren. Darüber hinaus umfasst das PKI-Modell mehrere Funktionseinheiten wie das Key Management Center (KMC), die Time Stamping Authority (TSA) und das Key Recovery Center (KRC). Der ausgezeichnete Teil der PKI wird als Trust Center bezeichnet. Eine Sicherheitsinfrastruktur muss für den Endbenutzer transparent sein, allerdings sollten die genauen Abläufe des Schlüssel- und Zertifikatmanagements vor dem Benutzer verborgen bleiben. Er sollte aber in der Lage sein, auf einfache Art und Weise die Services zu nutzen. Sicherheitsmanagement SM, security management

Das OSI-Sicherheitsmanagement ist einer von fünf Funktionsbereichen des OSI-Managements und hängt mit der Zielspezifikation der Benutzerverwaltung unmittelbar zusammen. 39

IT-Sicherheit Sicherheitspolitische Aspekte müssen ethische und gesetzliche Komponenten ebenso berücksichtigen wie rechtliche, organisatorische und wirtschaftliche Voraussetzungen. Das Sicherheitsmanagement (SM) umfasst den Schutz von Informationen. Dies kann sich auf den Schutz von Objekten, von Diensten und Ressourcen auswirken. Zu den Sicherheitsmaßnahmen gehören u.a. die Authentifizierung, die Passwortverwaltung und die Zugriffsberechtigung auf Netze und LAN-Segmente. Sicherheitsbetrachtungen müssen unter der Prämisse geplant werden, dass Informationen einen Wert darstellen, der quantifiziert und qualifiziert werden kann. Die Datenbasis des OSI-Sicherheitsmanagements bildet die Security Management Information Base (SMIB). Die OSI-Sicherheitsarchitektur kennt drei Management-Kategorien: System Security Management, Security Services Management und Security Mechanismen Management. Die Abwicklung des Sicherheitsmanagements zwischen den Endsystemen erfolgt über Sicherheitsprotokolle. Dabei müssen die Sicherheitsprotokolle und die übertragenen Management-Informationen geschützt werden. Sicherheitspolitik

In der Sicherheitspolitik werden die Regeln und Verfahrensweisen festgelegt, nach denen die

security policies

Datenübermittlung, -verarbeitung und -speicherung erfolgen. Sie berücksichtigt personelle, technische, organisatorische und rechtliche Einflussfaktoren. Bei den personellen Einflussfaktoren geht es um das Bedienpersonal, der Zuverlässigkeit, Sensibilität und Vertrauenswürdigkeit. Es geht um die Antworten auf Fragen wie „Wer darf auf welche Daten zugreifen?“ oder „Wer ist für die Sicherheitspolitik verantwortlich?“ Die technischen Einflussfaktoren sind geprägt durch die vorhandenen Computer, die Art und Sensibilität der Daten und der Software, aber auch durch räumliche Gegebenheiten, die Art der eingesetzten Übertragungsmedien und -techniken, sowie die Anzahl der Prozesse usw. Bei der 40

IT-Sicherheit Technik stellen sich Fragen hinsichtlich der Daten, der Art der Vermittlung oder der Verkehrsbeziehungen. So beispielsweise: „Welche Verkehrsbeziehungen sind erlaubt?“ oder „Auf welcher Schicht werden die Sicherheitsdienste installiert?“. Bei den organisatorischen Einflussfaktoren handelt es sich um solche, die sich mit den Arbeitsabläufen der Benutzer beschäftigen. Bei diesen Einflussfaktoren geht es um die vielen sicherheitsrelevanten Aspekte, wie „An wen werden Alarme gemeldet?“ oder „Welche Maßnahmen sind zu treffen, damit die Sicherheitspolitik eingehalten wird?“. Darüber hinaus muss sich die Sicherheitspolitik auch nach den Gesetzen und rechtlichen Vereinbarungen richten. Zu nennen sind das Bundesdatenschutzgesetz (BDSG), Signaturgesetz (SigG), Teledienstdatenschutzgesetz (TDDSG) und andere. Letztlich geht es auch um die Rechtsverbindlichkeit der Informationen, um deren Urhebernachweis oder Kommunikationsnachweis. Sicherheitsprotokoll security protocol

Sicherheitsprotokolle erhöhen die Sicherheit des Datenverkehrs in Kommunikationsnetzen. Sie können auf allen Schichten des Kommunikationsmodells eingesetzt werden und besitzen verschiedene Verschlüsselungstechniken, mit denen die Authentisierung gesichert wird oder die zu übertragenden Daten codiert werden. Eines der bekannteren im LAN-Umfeld eingesetzten Sicherheitsprotokolle auf der Vermittlungsschicht ist das PPP-Protokoll. Dieses Protokoll wird vorwiegend für Netzwerkanschlüsse verwendet, die auf Einwahlverbindungen basieren. In der IPKommunikation gehört IPsec zu den standardisierten Protokollen. Daneben ist das TunnelingProtokoll PPTP zu nennen und das für die Verschlüsselung der PPTP-Datenpakete dienende Microsoft Point to Point Encryption Protokoll (MPPE). Die auf der Vermittlungsschicht arbeitenden Sicherheitsprotokolle wie das PAP-Protokoll, das 41

IT-Sicherheit SSH-Protokoll oder RADIUS unterstützen die Authentisierung und den Passwortschutz. Für die Sicherung von Tunnel-Verbindungen ist L2Sec zu nennen. In den höheren Schichten dienen die Sicherheitsprotokolle zur Verschlüsselung der Anwendungen, so beispielsweise das SSLProtokoll und das TLS-Protokoll. Sicherheitsrichtlinie security directive

Sicherheitsrichtlinien sind unternehmensspezifische Regeln in denen die Ziele für alle sicherheitsrelevanten Arbeitsgebiete festgelegt sind. In Unternehmen definieren die Sicherheitsrichtlinien die Regeln, die die Mitarbeiter, die an der Ausarbeitung der Richtlinien beteiligt sein sollten, in ihrem Arbeitsgebiet beachten müssen. Zu den wichtigsten Interessengruppen in einem Unternehmen gehören die Sicherheits- und Netzwerkadministration, Arbeitnehmervertreter, Vertreter der Nutzergruppen und der Geschäftsführung. Die ausgearbeiteten Sicherheitsrichtlinien sollten von den Nutzern umgesetzt und akzeptiert werden, sie sollten die Sicherheit des Netzwerks und der Systeme gewährleisten und die Rechte und Pflichten der Nutzer, der Administration und der Geschäftsführung klar regeln. Bestandteile der Sicherheitsrichtlinien umfassen die Beschaffung der Software, Computer- und Netzwerktechnik und die darin realisierten Sicherheitsstandards, die Zugriffsberechtigungen und alle Maßnahmen die dem Datenverlust und der Abwehr von Angriffen dienen, die Betriebs- und Wartungsrichtlinien und das Reporting, um nur einige zu nennen. In die Sicherheitsrichtlinien fließen die nationalen und internationalen Sicherheitsstandards für die Bewertung und Zertifizierung von IT-Systemen ein. Dazu gehören die europäischen Information Technology Security Evaluation Criteria (ITSEC), die amerikanischen Trusted Computer Security (TCSEC) und die Common Criteria for Information Technology Security 42

IT-Sicherheit Evaluation (CC). Außerdem befasst sich Kapitel 1 des britischen Standards BS 7799 für das Sicherheitsmanagement mit den Sicherheitsrichtlinien für das Management und für die Betreuung der IT-Sicherheit. Sicherheitsstufe

Der Safety Integrity Level (SIL) ist ein Verfahren zur Ermittlung des potentiellen Risikos von

SIL, safety integrity level

Personen, Systemen, Geräten und Prozessen im Falle einer Fehlfunktion. Die Basis für die Spezifikationen, den Entwurf und Betrieb von sicherheitstechnischen Systemen (SIS) bildet der IEC-Standard 61508. IEC 61508 bietet ein kohärentes Framework in dem alle früheren Sicherheitsregularien berücksichtigt sind. Dazu gehören die in Deutschland bekannten Sicherheitsnormen DIN/VDE 19250, DIN/VDE 19251 und DIN/VDE 801. Der 61508-Standard definiert die Sicherheit in Abhängigkeit vom Grad der Beschädigung und der Wahrscheinlichkeit, die eine bestimmte Anwendung hinsichtlich einer risikorelevanten Situation hat. 61508 hat eine eigene Risikobewertung mit der die Sicherheits-Integritätslevel (SIL) für die Geräte und Systeme mit Sicherheitsaufgaben ermittelt werden. Der IEC-Standard kennt

SIL-Level des IEC-Standards 61508

die vier SIL-Level SIL1 bis SIL4, die als Sicherheitsausführungen von elektrischen und elektronischen Geräten definiert sind. Im SIL-Wert 43

IT-Sicherheit drückt sich die spezifizierte Sicherheitsfunktion im Fehlerfall aus: Mit welcher Wahrscheinlichkeit arbeitet das System im angeforderten Fehlerfall (PFD). Beim SIL-Level 1 ist die Gefahr oder das wirtschaftliche Risiko relativ gering und die Verfügbarkeit des der sicherheitstechnischen Systeme mit 90 % oder 10 % Fehlerwahrscheinlichkeit akzeptabel. Das Risikopotential wird in technischen Einrichtungen, verfahrenstechnischen Anlagen, in der Automotive-Technik, in Maschinen, Aufzügen, programmierbaren Steuerungen, IT-Anlagen und -Systemen bestimmt. Sicherheitsvereinbarung SA, security association

Security Associations (SA) sind Sicherheitsvereinbarungen, die zwei mittels IPsec miteinander kommunizierende Instanzen vor der Kommunikation untereinander austauschen. Diese Sicherheitsvereinbarungen werden für den Authentification Header (AH) und den Encapsulated Security Payload (ESP) jeweils individuell getroffen. Sie gelten für die unidirektionale Kommunikation, also nur für eine Übertragungsrichtung. Da eine Kommunikation bidirektional erfolgt, sind mindestens zwei Sicherheitsvereinbarungen für die Übertragung erforderlich: eine für beispielsweise für die Verschlüsselung eines Datenpakets, die zweite für die Authentifizierung. Security Associations sind die grundlegende individuelle Basis jeder IPSec-Verbindung. Sie definieren exakt, wie der Host oder das Security Gateway eine Verbindung zur Zielkomponente aufbauen und erhalten muss. Eine Security Association ist stets einzigartig und wird durch drei wesentliche Komponenten beschrieben: Den Security Parameter Index (SPI) die IPZieladresse und den Security Protocol Identifier. Zur Vereinfachung des Verfahrens benutzt man so genannte Domain of Interpretation (DOI), in der die verschiedenen Parameter festgelegt sind. 44

IT-Sicherheit Snooping

Unter Snooping versteht man das Abhören einer Verbindung auf einem Broadcast-Medium, einem Chat oder der Internettelefonie. Der Mithörende, beispielsweise ein Hacker, kann dadurch in den Besitz von vertraulichen Daten wie Passwörter kommen. Neben dem genannten Snooping gibt es noch das Bus-Snooping bei dem jeder Teilnehmer auf dem Hostbus Adressen anderer Teilnehmer mitlesen kann.

Spam spam mail

Spams, Spam-Mails oder auch Junk-Mails, sind unverlangt zugesendete E-Mails und SMS. Das können auch Newsartikel sein, die an viele Newsgroups verteilt werden. Im normalen Sprachgebrauch sind damit unerwünschte Nachrichten gemeint, an denen man kein Interesse hat. Eine Spam-Mail ist vergleichbar einer nicht angeforderten postalischen Wurfsendung. Die unerwünschten elektronischen Massenaussendungen werden auch als Unsolicited Bulk E-Mail (UBE) bezeichnet, die kommerziellen E-Mails als Unsolicited Commercial E-Mail (UCE). Für die Aussendung von Spams gibt es spezielle Programme für das Internet. So können Spam-Mails über Chats ebenso verbreitet werden wie über ICQ. Die Kreativität der Spam-Autoren kennt kaum Grenzen. So sind Spam-Mails zu komplexen und spezialisierten Anwendungen mutiert. Sie sind mit Flash-Animationen, versteckten Inhalten oder Spyware bestückt. Zur Verhinderung von Spams gibt es Spam-Filter gegen unerwünschte Massen-E-Mails, E-Mail-Filter zur inhaltlichen Filterung von E-Mails nach Text- und Anhängen sowie Web-Filter zur Blockierung von unerwünschten E-Mail-Adressen. Die Organisationen MAPS und CAUCE haben sich speziell mit der Verhinderung von Spam-Mails auseinander gesetzt und bieten verschiedene Listen mit den Server-Adressen, von denen regelmäßig Spams versandt werden.

Spoofing

1.

In der Netzwerktechnik ist Spoofing eine Technik zur Reduzierung des Bandbreitenbedarfs 45

IT-Sicherheit im Internetworking. Mit dieser Technik wird der Netzwerk-Overhead reduziert und dadurch die Kosten bei der Übertragung über Weitverkehrsnetze ebenso wie die Netzauslastung gesenkt. Das Spoofing reduziert zyklisch gesendete Nachrichten, wie NetzwerkmanagementInformationen, dadurch, dass ein Router als Proxy arbeitet und für ein angeschlossenes Remote-Gerät antwortet. Durch das Spoofing erscheint dem LAN-Gerät beispielsweise eine Verbindung als noch bestehend, obwohl sie bereits abgebaut wurde. Das hat bei Weitverkehrsverbindungen den Vorteil, dass eine Verbindung beim Ausbleiben von Nutzdaten nach einer gewissen Zeit abgebaut werden kann, obwohl sie normalerweise durch die zyklischen Management-Datenpakete aufrechterhalten bleiben müsste. 2. In der Internet-Terminologie hat das Spoofing eine eigene Bedeutung, und zwar die Angabe einer falschen Adresse. Durch die falsche Internetadresse täuscht jemand vor, ein autorisierter Benutzer zu sein. Maßnahmen gegen das Spoofing, die den Missbrauch von IPAdressen verhindert, nennt man Anti-Spoofing. Es gibt das IP-Spoofing, DNS-Spoofing, WWW-Spoofing und ARP-Spoofing, die mit simulierter IP-Adresse anhand der Host-Adresse oder des Domainnamen oder mit der Zuordnung zwischen IP- und Hardwareadresse fungieren. Spyware

Der Begriff Spyware ist eine Wortschöpfung aus Spy (Spionieren) und Ware. Es handelt sich dabei um eine Software, die das Online-Verhalten von Webnutzern, das sich im Surfen ausdrückt, ausspioniert und dieses Wissen an andere weitergibt. Aus den Ergebnissen, die in der Regel in Tabellen gespeichert und über E-Mails an den Urheber gesendet werden, können Rückschlüsse auf das Werbeverhalten gezogen und die Werbewirksamkeit durch gezielten Einsatz von abgestimmten Methoden gesteigert werden. 46

IT-Sicherheit Spyware wird als unerwünschte Software auf Workstations installiert, sie verhält sich penetrant und ist potenziell gefährlich. Der Zweck ist die Bereicherung des Urhebers. Sie wird durch Trojaner und mit E-Mails auf den Anwender-PC heruntergeladen. Spyware kann dann zu einer ernsthaften Gefahr werden, wenn vertrauliche Informationen des angemeldeten Nutzers weitergegeben werden. Dazu gehören u.a. die Abfolge der Tastatureingaben, der Benutzername, der Hashwert des Administrator-Passwortes, E-MailAdressen, Kontaktdaten sowie Anmelde- und Nutzungsinformationen zu Instant-Messaging. TCSEC, trusted computer security

Die Trusted Computer Security (TCSEC) ist ein Kriterienkatalog für die Sicherheit von ITSystemen. Der von der amerikanischen NCSC entwickelte und vom US-amerikanischen Verteidungsministerium 1985 herausgegebene Kriterienkatalog dient US-Firmen zur Bewertung von sicherheitsrelevanten Maßnahmen. Aufbauend auf dem in den 80er Jahren definierten TCSEC wurden diverse Maßnahmenkataloge für verschiedene Länder und die Nato entwickelt. International werden die Common Criteria (CC) verwendet, die aus den ITSEC und den TCSEC entwickelt wurden.

trap door Falltür

Trap Doors gehören zu den potentiellen Gefahren von IT-Systemen. Dabei handelt es sich um eine versteckte Funktionalität mit der versucht wird die Sicherheitsfunktionen eines ITSystems zu Durchdringen oder zu Umgehen. Die Trap Door oder auch Backdoor ist eine implementierte Befehlsfolge für einen Angriff auf ein IT-System. Trap Doors werden auch zum Testen von Programmen benutzt oder bewusst von Entwicklern eingebaut um sich einen späteren unberechtigten Zugang zu dem System zu verschaffen. Aktiviert werden solche Falltüren durch eine bestimmte Zeichen- oder Ereignisfolge eines Client oder Servers. Trap-Door-Funktionen sind relativ leicht zu berechnen, allerdings ist es ohne die Kenntnis des 47

IT-Sicherheit Geheimschlüssels nicht möglich aus dem funktionalen Wert (y) das entsprechende Argument (x) zu berechnen. Trojaner trojan

Unter einem Trojaner, auch als trojanischen Pferd bezeichnet, versteht man ein Programm, das neben seiner eigentlichen Funktion noch weitere, unbekannte Funktionen aufweist. Bei seiner Ausführung richtet ein trojanisches Pferd Schaden »von innen« an. Dabei werden Datenbestände und Passwörter ausspioniert und über das Internet versendet, ebenso aber auch Systemkonfigurationen verändert oder gelöscht. Trojaner missbrauchen Computer und rüsten in diesen zusätzliche Funktionen nach, mit denen sie Zugangsdaten, Passwörter und Seriennummern erfassen oder die Remote-Eigenschaften und die Systemadministration beeinträchtigen, so beispielsweise als Spyware, zur Aussendung von Spams oder für Angriffe auf Server. Trojaner verbreiten sich über Anhänge von E-Mails, aber auch über Tauschbörsen. Trojaner kann man dadurch verhindern, indem man keine Software aus unbekannten Quellen auf seinen Computer lädt oder diese vorher durch einen Virenscanner checkt.

Virus

In den 90er Jahren hat sich in kurzer Zeit das Virus-Problem von einer theoretischen zu einer

virus

realen Bedrohung für Computer und Datennetze entwickelt. Viren sind Schadprogramme, die alle Rechner, Programme und Dateien angreifen und schädigen. Daher unterscheidet man bei den Viren zwischen Computerviren, Dateiviren, Systemviren und Bootviren. Ein typisches Computervirus ist ein einfaches Programm, das sich selbst reproduziert, sich in normalen Programmen versteckt und dessen Zweck es ist, durch Infizierung andere Soft- und Hardware zu behindern oder zu zerstören. Wenn infizierte Programme ablaufen, stecken sie auch andere Programme und andere Computer an, mit denen sie in Kontakt kommen. Wenn ein Computervirus einmal ein Programm befallen hat, dann kann er Programme zerstören, 48

IT-Sicherheit Daten vernichten, Zahlenwerte in einer Tabellenkalkulation verändern, Festplatten neu formatieren und damit ihren gesamten Datenbestand vollständig vernichten oder jeden nur möglichen Schaden anrichten, den der Programmierer des Virus eingeplant hat. In fast allen Fällen bleibt der Virus unbemerkt, während er

Programmablauf ohne und mit Virenprogramm

sein Zerstörungswerk vollbringt. Auch die Virenerkennung mittels Virenscannern gestaltet sich zunehmend schwieriger, da sich

Viren verändern können, wie polymorphe Viren, und neuere Viren Tarnfunktionen besitzen, wie der Stealth Virus, und sich vor Virenscannern verbergen können. Viren werden über das Internet verbreitet, und zwar über die Dateianhänge von E-Mails und Software-Downloads. Sie werden in Datenbanken von Wildlist als ITW-Viren erfasst und stehen Anwendern unter http://www.wildlist.org zur Verfügung. WLAN-Sicherheit WLAN security

Der von der Arbeitsgruppe 802.11i für WLANs definierte Sicherheitsstandard hatte einige Lücken und wurde daher vollkommen überarbeitet und neu definiert. Mit der Neudefinition sind 49

IT-Sicherheit herstellerübergreifende WLAN-Sicherheitslösungen in allen Netzkonfigurationen möglich, unabhängig von den eingesetzten Produkten. Generell bezieht sich die WLAN-Sicherheit als Teil des WLAN-Managements auf den Zugangsschutz der Teilnehmer durch Authentifizierung und den Schutz vor der Einwahl in unberechtigte Access Points (AP). Darüber hinaus müssen die Sicherheitslösungen sicherstellen, dass Unberechtigte die über Funk empfangenen Datenströme nicht auswerten können. Da sich der Empfang von Funksignalen in einer entsprechenden Entfernung nicht verhindern lässt, müssen geeignete Maßnahmen in Form von Verschlüsselung eingesetzt werden, damit die verschlüsselten Datenpakte nicht entschlüsselt und ausgewertet werden können. Des Weiteren muss die WLAN-Sicherheit auch die Manipulation von Datenströmen erkennen und verhindern können. Dies kann mittels zyklischer Blockprüfung (CRC) erfolgen. Der Schlüsselaustausch über das WLAN ist ein weiterer Punkt, der besonders bei symmetrischer Verschlüsselung, bei der Sender und Empfänger mit gleichem Schlüssel arbeiten, Probleme aufwirft. Daher arbeiten WLANs häufig beim Schlüsselaustausch mit asymmetrischer Verschlüsselung und in der Übertragung mit symmetrischer Verschlüsselung. In diesem Zusammenhang ist das WEP-Protokoll (Wired Equivalent Privacy) zu nennen, das in 802.11 definiert wurde. Darüber hinaus das Counter Mode With CBC-MAC Protocol (CCMP) und das Wireless Robust Authentication Protocol (WRAP). Da das WEP-Protokoll einige Schwächen hat, werden neben diesem Sicherheitsprotokoll mit statischen Schlüsseln weitere mit dynamischer Schlüsselvergabe eingesetzt. So das EAPProtokoll und das von der WiFi-Allianz definierte WiFi Protected Access (WPA). 802.11i hat ein ausgefeiltes Sicherheitskonzept mit einer umfassenden Schlüsselhierarchie, die neben einem Master Key (MK), Pairwise Master Key (PMK), Pairwise Transient Key (PTK) sowie weitere daraus abgeleitete Schlüssel kennt. 50

IT-Sicherheit Wurm worm

Ein Wurm ist ein infizierter Programmcode, der sich normalerweise über die vorhandene Infrastruktur, über Netzwerkverbindungen oder den Anhang von E-Mails ausbreitet und auf anderen Systemen Schaden anrichtet. Würmer können auch das Adressbuch des Benutzers für die Verbreitung benutzen. Würmer sind schädliche, autonome Programmroutinen, die sich, sobald sie codiert und freigesetzt werden, automatisch vervielfältigen um möglichst viele Rechner zu befallen. Sie dringen über Sicherheitslücken in die Systeme ein und richten dort Schaden an, indem sie unerwünschte Aktionen auslösen. Das können Nachrichten sein, die plötzlich auf dem Bildschirm erscheine; sie können aber auch Dateien löschen, Festplatten formatieren oder den Prozessor mit sinnlosen Aufgaben eindecken.

51

Impressum IT-Sicherheit

Herausgeber Klaus Lipinski Datacom-Buchverlag GmbH 84378 Dietersburg ISBN: 978-3-89238-192-1 IT-Sicherheit E-Book, Copyright 2010 Trotz sorgfältiger Recherche wird für die angegebenen Informationen keine Haftung übernommen. Dieses Werk ist unter einem Creative Commons Namensnennung-Keine kommerzielle Nutzung-Keine Bearbeitung 3.0 Deutschland Lizenzvertrag lizenziert. Erlaubt ist die nichtkommerzielle Verbreitung und Vervielfältigung ohne das Werk zu verändern und unter Nennung des Herausgebers. Sie dürfen dieses E-Book auf Ihrer Website einbinden, wenn ein Backlink auf www.itwissen.info gesetzt ist. Layout & Gestaltung: Sebastian Schreiber Titel: © Hunta - Fotolia.com Produktion: www.media-schmid.de Weitere Informationen unter www.itwissen.info 52