IT Sicherheit und Datenschutz - iwi.uibk.ac.at · Regel Richtung Quell- IP Ziel-IP Protokoll Quell- Port Ziel-Port Aktion 1 Rein jede 200.1.1.11 TCP >1023 25 weiterleiten 2 Raus 200.1.1.11

Institut für Wirtschaftsinformatik, Produktionswirtschaft und Logistik

Bereich Wirtschaftsinformatik

IT Sicherheit und Datenschutz

2

...nicht jeder hat nur Gutes im Sinn

Ansicht von Hacking-Versuchen (http://www.norse-corp.com/)

Quelle: https://www.smithsonianmag.com/smart-news/nets-dark-side-watch-people-try-hack-each-other-live-180951823/

Netzwerke ermöglichen eine schnellere Kommunikation weltweit, aber ...

Gründe für Hacking

3

finanzieller Gewinn Spaß und Neugier

soziale oder politische Ziele

Welche Arten von Angriffen gibt es?

4

Pretexting (Schaffen eines Vorwands)

Ködern (Baiting)

Methoden: Social Engineering

Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner

5

Methoden: Ransomware

Methoden – Brute Force Attacks & NAND Mirrorring

6

DES cracking machine

Modern GPU

COPACOBANA FPGA Cluster

Methoden: Brute Force Attacken & NAND Mirroring

Methoden: DOS (denial-of-service) Attack

7

Wie können wir vor Angriffen geschützt werden?

8

Aufgabe: Spielen Sie Episode 1, 2 oder 3

Zeit: 10 Minuten

gehe zu: https://www.sichere-identitaet-bb.de/sicheriminternet/

Übung: Spiel zu IT-Sicherheit

Aufgabe: Diskutieren Sie …

• Welche Auswirkungen haben Sicherheitslücken?• Welche Sicherheitsmaßnahmen können getroffen werden?• Was sind Sicherheitsziele?

Zeit: 15 Minuten

Übung: Spiel zu IT-Sicherheit -> DISKUSSION

Auswirkungen von Sicherheitslücken

11

Datenverlust

• Wichtigen Daten werden gelöscht

Datenmanipulation

• Absichtliche Verfälschung von Daten z.B. in Bilanzen oder auch in Softwarecodes

Unbefugter Zugriff

• Unternehmensgeheimnisse gelangen in die Hände Dritter

Ressourcenmissbrauch

• Hard- und Software des Unternehmens werden für fremde Zwecke missbraucht, z.B. Versenden von SPAM-Mails …

Ausfallzeit

• Ständig benötigte Infrastrukturdienste sind nicht erreichbar, wodurch finanzieller (Produktionsausfall od. –Verzögerung) und auch Imageschaden entstehen kann (z.B. Nichterreichbarkeit einer Webseite)

Sicherheitsmaßnahmen

12

OrganisatorischInfrastrukturellTechnisch

❖ Filterung Datenverkehr (Firewall)

❖ Überwachung Datenverkehr (IDS/IPS)

❖ Zertifikate (PKI)❖ Authentifizierung (z.B.

Kerberos-Protokoll)❖ Proxy❖ Virtual Private

Network (VPN)

❖ Sicherheitsrichtlinien❖ Schulungen❖ Benutzer-

sensibilisierung❖ Notfalldokumentation❖ Versicherungsschutz❖ Geheimhaltungs-

verpflichtungen

❖ Zutrittskontrolle❖ Brand- & Wasserschutz❖ Klimatisierung❖ Stromversorgung❖ Einbruchschutz❖ Videoüberwachung

Dienste sollen einem

Berechtigten stets

zur Verfügung stehen

13

Sicherheit

Geheime Information für

unberechtigte Dritte

unzugänglich machen

Daten sollen unverfälscht,

im unveränderten

“Originalzustand” sein

Der Benutzer oder

Kommunikationspartner ist

nachweislich identifiziertQuelle: Hansen, H. R., Mendling, J., & Neumann, G. (2019).

Wirtschaftsinformatik. Walter de Gruyter GmbH & Co KG.

Was sind Sicherheitsziele?

Technische Maßnahmen: Authentifizierung

14

1. was du weißt 3. was du bist2. was du hast

Vorschlag: Zwei- oder mehrfaktorige Authentifizierung

PasswörterSchlüssel

Smartphones

Fingerabdruck

Iriserkennung

Gesichtserkennung

+ einfach zu

implementieren

- gefährdet, wenn das

Passwort gehackt wird.

+ schwieriger für

Remote-Angreifer,

Zugriff zu erhalten.

- gefährdet, wenn der

Angreifer in der Nähe

ist.

+ sicherer

- aufwendig

- Probabilistisch (vom

System nicht erkannt).

- kann nicht

zurückgesetzt werden.

Technische Maßnahmen: Authentifizierung

15Renata Santiago Walser

• Authentifizierung (Passwörter)

Quelle: https://www.betterbuys.com/estimating-password-cracking-times/assets/images/type_difference_ascii_alpha_numeric.jpg

Möglichkeiten der Passwortspeicherung:

• im Browser• Apple Schlüsselbund• Passwortmanager (1Passsword, LastPass, etc.)• ...• Welche kennen Sie noch?

Quelle: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter.html

Wie können Passwörter “sicher” gespeichert werden?

18

Software Firewall Hardware Firewall

z.B. Windows Firewall, ZoneAlarm, Norton Personal Firewall, AtGuard, Avast Internet Security

z.B. WatchGuard Firebox, Sophos XG/RED, Sonicwall, Cisco ASA, Cyberroam

Sicherheitskomponente, die ein zuverlässiges Netzwerk von

einem unzuverlässigen Netzwerk isoliert.

Technische Maßnahmen: Firewalls

Firewall Typen

19

• Personal- oder Desktop/Software-Firewalls

– Software, die lokal auf dem zu schützenden Rechner installiert werden, um den Datenverkehr zwischen ihm und dem Netzwerk zu dem er gehört zu kontrollieren.

– Beispiele: Windows Firewall (ab XP SP2), ZoneAlarm, Norton Personal Firewall, AtGuard, …

• Netzwerk- oder Enterprise Firewalls

– Ein Gerät das den Datenverkehr zwischen mindestens zwei Netzwerken (oft auch deutlich mehr) kontrolliert.

• Kann als Software auf Rechnern implementiert werden (z.B. Check-Point-Firewall 1, Microsoft ISA Server, IPCop, Endian Firewall, Shorewall, Astaro Security Linux, …),

• oder in Form eigenständiger Hardware („Firewall-Appliance“) die eine aufeinander abgestimmte Kombination aus Hardware, gehärtetem Betriebssystem und Firewall-Software umfasst (z.B. Cisco ASA (früher PIX), WatchGuard FireBox X, Astaro Security Gateway, Qtrust, …)

Firewall Technologien

20

Application

Presentation

Session

Transport

Network

Data Link

Physical

OSI

Modell

Stateful Inspection (Zustandsgesteuerte Filterung)

Packet-Layer-Firewall (Paketfilterung)

Schicht 7

Schicht 6

Schicht 5

Schicht 4

Schicht 3

Schicht 2

Schicht 1

Application-Layer-Firewall (Inhaltsfilterung)

Zustandsorientiert

Zustandlos

Stateful

Stateless

Firewall Technologien

21

• Packet-Layer-Firewall (Paketfilterung)– Pakete werden durchgelassen (route) oder verworfen (drop)

– Regeln, die über route oder drop entscheiden werden vom Administrator definiert und basieren auf

Regel Richtung Quell- IP Ziel-IP Protokoll Quell- Port Ziel-Port Aktion

1 Rein jede 200.1.1.11 TCP >1023 25 weiterleiten

2 Raus 200.1.1.11 jede TCP 25 >1023 weiterleiten

3 egal jede jede jedes jeder jeder blockieren

+ schnell

- betrachten Pakete nicht als Teil eines breiteren

Datenverkehrs.

Firewall Technologien

22

• Stateful Inspection (Zustandsgesteuerte Filterung)– Weiterentwicklung der Packet-Layer-Firewall

– Entscheidet auch anhand der Stati aktuell geöffneter Verbindungen, ob ein Paket verworfen wird. Sinnvoll z.B. für ftp (Port 21 zum Verbindungsaufbau, Port 20 für den Datentransfer)

trusted

environment

untrusted

environment

+ „intelligenter“ als Paketfilterung

- benötigt mehr Rechenleistung

(anfällig für DoS-Angriffe)

Firewall Technologien

23

• Application-Layer-Firewall (Inhaltsfilterung)– Content-Filter: Blockierung von z.B. ActiveX und/oder JavaScripts, Sperren unerwünschter Webseiten über

Schlüsselwörter, Sperren von Anwendungsprotokollen (etwa FileSharing)

– Proxy: Baut stellvertretend für die LAN-Clients Verbindungen auf, nach außen ist nur die IP-Adresse des Proxys sichtbar

– Web Application Firewall (WAF): Prüft Daten die via WEB-Browser an Anwendungen geschickt werden. Schutz gegen die Einschleusung gefährlichen Codes durch Techniken wie SQL-Injection, Cross Site Scripting, CommandExe, Parameter Tampering, …

+ gibt die IP-Adresse des Hosts nicht weiter.

- Rechenintensiv (anfällig für DoS-Angriffe)

Unterteilung in drei Verfahren:

• Symmetrische Verschlüsselung

• Asymmetrische Verschlüsselung und

• Hybride Verschlüsselung

24

Internet

Alice Bob

ungesicherter

Übertragungskanal

Technische Maßnahmen: Verschlüsselung

Verschlüsselungsverfahren: Symmetrische Verschlüsselung

27

Internet

Alice Bob=

Geheimer

SchlüsselGeheimer

Schlüssel

+ weniger rechenintensiv

+ schnell im Vergleich zu asymmetrischen Schlüsseln

- Problem: Der Schlüssel muss irgendwie übertragen werden!

- Je mehr Beteiligte, desto komplexer das Problem der Schlüsselverteilung

DES

3DES

AES

Twofish

64 bit key

112 bit

key

128

192

256 bit

key

128-256

bit keys

Klartext Geheimtex

t

Geheimtex

t

Klartext

Verschlüsselungsverfahren: Symmetrische Verschlüsselung

28

• Wie bekommen wir den geheimen Schlüssel?

• Diffie-Hellman key exchange

Alice Bob

Public values

BASE B

MODULUS MSecret

exponent

Secret

exponentX Y

Jim???

Verschlüsselungsverfahren: Asymmetrische Verschlüsselung

29

Internet

Alice Bob

Klartext Geheimtext Geheimtext Klartext

RSA

algorithm

öffentlicher Schlüssel

privater Schlüssel

Bob’s öffentlicher Schlüssel

öffentlicher Schlüssel

privater Schlüssel

Alice’s öffentlicher Schlüssel

verschlüsselt mit Bobs

öffentlichem Schlüssel

entschlüsselt mit Bobs

privatem Schlüssel

☹ Rechenintensiv. / Wenn jemand den privaten Schlüssel stiehlt, kann diese Person alle

Nachrichten entschlüsseln.

Alice Bob

Signiert mit Alices

privatem SchlüsselSignaturprüfung mit Alices

öffentlichem Schlüssel

Verschlüsselungsverfahren: Hybride Verfahren

30

Internet

Alice Bob

Klartext Geheimtex

t

Geheimtex

t

Klartext

Verschlüsselung des „Session Key“ mit

dem öffentlichen Schlüssel von Bob

Entschlüsselung des „Session Key“

mitdem privaten Schlüssel von Bob

öffentlicher Schlüssel

privater Schlüssel

Bob’s öffentlicher Schlüssel

öffentlicher Schlüssel

privater Schlüssel

Alice’s öffentlicher Schlüssel

“Session Key”

Alice Bob

Symmetrische

Verfahren

Asymmetrische

Verfahren

Hinweis: für sehr lange Nachrichten wird der Großteil der Arbeit durch das effizientere symmetrische Verschlüsselungsverfahren durchgeführt, während das ineffiziente öffentliche

Verschlüsselungsverfahren nur für einen kurzen Schlüsselwert verwendet wird.

Praktische Anwendung: Asymmetrische Verschlüsselung

31

Nachricht

public

key

Bob

private

key

Alice

private key

Bob

public

key

Alice

Verschlüsselung

Nachricht

Signatur

Übermittlungungesicherter

Übertragungskanal0&§(1§/=1 0&§(1§/=1

Nachricht

Vergleich

Nachricht

Entschlüsselung

Alice

(Absender)

Bob

(Empfänger)Nachricht ist

unverändert

und von Alice

Übertragung einer signierten und verschlüsselten E-Mail

• Symmetrische Verfahren (wenig rechenintensiv)

– Für Ver- und Entschlüsselung der Daten wird derselbe Schlüssel verwendet.

– Beispiele: DES, 3DES (Tripple DES), AES-Rijndael, Twofish

– Problem: Der Schlüssel muss irgendwie übertragen werden!

– Typische Schlüssellängen: 56 oder 128 Bit

• Asymmetrische Verfahren (rechenintensiv)

– Verwendung eines Schlüsselpaars: Public Key und Private Key

• Verschlüsselung → Public Key des EmpfängersEntschlüsselung → Private Key des Empfängers

• Digitale Signierung → Private Key des SendersPrüfung der digitalen Signatur → Public Key des Senders

• Der Private Key muss geheim bleiben; der Public Key ist öffentlich zugänglich.

– Beispiel: RSA (Rivest, Shamir und Adelman)

– Typische Schlüssellängen: 512, 1024 oder 2048 Bit

• Hybride Verfahren– Setzen asymmetrische Verfahren zur Übertragung eines gemeinsamen Schlüssels für eine symmetrische

Verschlüsselung ein.

– Der gemeinsame Schlüssel wird nur für eine Verbindung zur Ver-und Entschlüsselung der Daten verwendet („Session Key“).

Zusammenfassung: Verschlüsselungsverfahren

32

Zusammenfassung IT Sicherheitsmaßnahmen: Threat Model

33

„Threat modeling“ ist ein Prozess, der potenzielle Bedrohungen aus der Sicht eines hypothetischen Angreifers identifiziert, auflistet und priorisiert.

Beispiel: STRIDE Threat Model (Microsoft). Quelle: https://misti.com/images/Content_Infosec_Insider_Images/Threat_Modeling_Chart.jpg

Bedrohung Sicherheitsziel Abwehrmechanismen

Verschleiern der Identität

(Spoofing)

Authentifikation - Passwörter

- Mehrfaktorielle Authentifikation

- Digitale Signaturen

Manipulieren von Daten

(Tampering)

Integrität - Zugriffsrechte/Zugriffssteuerungsliste

- Digitale Signaturen

Abstreiten von Handlungen

(Repudiation)

Nichtabstreitbarkeit - Protokollierung und Prüfungen

- Digitale Signaturen

Informationsweitergabe

(Information Disclosure)

Vertraulichkeit - Verschlüsselung

- Zugriffsrechte/Zugriffssteuerungsliste

Service Verweigerung (Denial

of Service)

Verfügbarkeit - Zugriffsrechte/Zugriffssteuerungsliste

- Erhöhung der Reliabilität und Verfügbarkeit

- Quoten

Änderung von Berechtigungen

(Elevation of Privilege)

Berechtigungen - Zugriffsrechte/Zugriffssteuerungsliste

- Eingabevalidierung

• In asymmetrischen Verschlüsselungsverfahren werden digitale Zertifikate verwendet um die Authentizität eines öffentlichen Schlüssels und seinen zulässigen Anwendungs- und Geltungsbereich zu bestätigen.

• Eine Zertifizierungsstelle (Certificate Authority, CA) stellt digitale Zertifikate aus, die bescheinigen, daß der öffentliche Schlüssel der angegebenen Person od. Institution gehört (entspricht einem Personalausweis)

– Bekannte CA‘s: Entrust, CyberTrust, RSA Security, Verisign

• Dadurch, daß man der Glaubwürdigkeit der CA vertraut, vertraut man auch der Echtheit des Zertifikats

• Zertifikatssperrlisten (Certificate Revocation Lists) enthalten Zertifikate die vor Ablauf der Gültigkeit zurückgezogen wurden

• Eine CA kann auch andere CA‘s autorisieren Zertifikate auszustellen

• Alternativer Ansatz Web of Trust: Glaubt ein Benutzer an die Authentizität eines öffentlichen Schlüssels, kann er selber ein Zertifikat erstellen, indem er diesen Schlüssel signiert. Andere Benutzer können entscheiden ob sie diesem Zertifikat vertrauen oder nicht.

– Wird z.B. in der Software PGP („Pretty Good Privacy“) verwendet

37Details: http://www.pki-page.org

Technische Maßnahmen: Public Key Infrastructure (PKI)

Institut für Wirtschaftsinformatik, Produktionswirtschaft und Logistik

Bereich Wirtschaftsinformatik

Datenschutz

Datensammlung auf sozialen Plattformen

Cookies sind kleine Dateien, die nach dem Besuch einer

Internetseite auf dem PC oder Smartphone abgelegt

werden. In dieser Datei werden Informationen gespeichert,

die im Zusammenhang mit der jeweiligen besuchten

Internetseite stehen.

https://www.bsi-fuer-

buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/EinrichtungBrowser/

GefahrenRisiken/Cookies/cookies_node.html

Cookies

• Anmeldedaten von Webseiten• besuchte Webseiten• eingegeben Suchbegriffe• Ihr Name, die E-Mail-Adresse, Ihre Anschrift oder Telefonnummer• aufgerufene Produkte• abgegebene Bewertungen• Ihre IP-Adresse• und vieles mehr...

“Letztlich setzt nur die Kreativität der Cookie-Programmierer Grenzen bei der Speicherung von Informationen als Cookie.”

Welche Daten werden von Cookies gespeichert?

Aufgabe: Diskutieren Sie...

- Aus Sicht des Unternehmens: Warum interessiert sich ein Unternehmen für Daten über BenutzerInnen? Was sind Pros und Contras?

- Aus Sicht des BenutzerInnen: Warum teilt man Daten über sich online? Was sind Pros und Contras?

Zeit: 15 Minuten

Erkunden Sie Cookie-Einstellungen Beispiele bei:

https://www.ibm.com/watsonQuelle

Diskussion: Umgang mit (sensiblen) Daten

Zeit:

• Dauerhafte Cookies: bleiben über Monate oder Jahre auf dem Computer, müssen manuell gelöscht werden, eher problematisch

• Session Cookies: werden nach jeder Session gelöscht, eher unproblematisch

Ort:

• Cookies auf öffentlich zugänglichen Computern eher problematisch (z.B. Anmeldedaten von sozialen Netzwerken können gespeichert werden)

Thema:

• Einstellungen: Informationen zur Website-Darstellung (Sprache, Region, Schriftgröße)• Sicherheit: Nutzer authentifizieren und Nutzerdaten vor dem Zugriff durch Unbefugte

schützen• Prozesse: tragen dazu bei, dass eine Website richtig reagiert und die erwarteten Dienste

bietet• Werbung: um Anzeigen für Nutzer ansprechender und für Publisher und Werbetreibende

wertvoller zu gestalten• Sitzungsstatus: Informationen darüber Interaktion von Nutzer mit einer Website

(Besuchshäufigkeiten von Webseiten)• Analytics: Transparenz von Website- und App-Inhaber Interaktion Ihrer Nutzer mit den

angebotenen Ressourcen

Welche Arten von Cookies gibt es?

Third - Party Cookies

● Ihr Browser schickt eine Anfrage nach der gewünschten

Seite (z.B. Online-Shop).

● Der aufgerufene Server schickt dem Browser eine kleine

Cookie-Datei, welche vom Browser gespeichert wird

● Jedes Mal wenn Sie mit Hilfe des Browsers diese Seite

erneut oder eine andere Webseite derselben Website

aufrufen, dann sendet der Browser das Cookie an die

Website.

● Die Webseite interpretiert dann die in dem Cookie

gespeicherten Werte und weiß z.B. welche Gegenstände

bereits in Ihrem virtuellen Einkaufswagen liegen.

First - Party Cookies

● Cookies von Drittanbietern beziehen sich auf

Webseiteninhalte (z.B. Bilder, Werbebanner, Filme,

etc.)

● Third-Party Cookies stammen nicht vom Server der im

Browser aufgerufenen Website, sondern werden von

anderen Webseiten geladen (z.B. Werbeagentur).

Wie funktionieren Cookies?