Datensicherheit - TU Dresden · Ausgewählte Schutzmaßnahmen – Personelle Maßnahmen –...

Datensicherheit

Fakultät Informatik Institut Systemarchitektur Professur Datenschutz und Datensicherheit

Dr.-Ing. Elke [email protected]

WS 2019/2020

Überblick über die Vorlesung

Organisatorisches

• Vorlesung: Mittwoch, 3. DS, APB/E010 • Übung: Mittwoch, 4. DS, APB/E010

Beginn: 06.11.2019

• Einschreibung über jExam

• Lehrmaterialien: Folienskript, Übungsaufgaben,Literaturhinweise

• Webseite: https://tu-dresden.de/ing/informatik/sya/ps (Studium Vorlesungen Datensicherheit)Lehrmaterialien, aktuelle Hinweise

• Art der Prüfung: Klausur (90 Minuten, Termin: 05.03.2020) oder mündliche Prüfung (Anmeldung persönlich bei Frau Gersonde, APB 3070)

Datensicherheit WS 2019/2020 2



1. Einführung– Problemstellung– Schutzziele– Datenschutz

2. Bedrohungspotenziale von IT-Systemen– Klassen von Bedrohungen– Sicherheitsprobleme– Malware– Angreifermodell

3. IT-Sicherheitsmanagement– Risiken und Maßnahmen– Grundsätzliches– ISO 27002– IT-Sicherheitskonzept

4. Ausgewählte Schutzmaßnahmen– Personelle Maßnahmen– Zugriffsschutz– Maßnahmen zur Steigerung der Verfügbarkeit



5. Kodierverfahren– Zielstellung und Einordnung– Kanalkodierung– Ausgewählte Beispiele

6. Kryptographische Verfahren – Überblick über kryptographische Verfahren– Historische Verfahren– Symmetrische Systeme– Asymmetrische Systeme

7. Multimedia-Sicherheit– Schutzziele und Schutzmechanismen– Steganographie


1 Einführung – Problemstellung

Zunehmende Bedeutung von IT-Systemen• „Informationsgesellschaft“• Einsatz von IT-Systemen in immer mehr Bereichen;

„kritische Infrastrukturen“• Breiter Einsatz von Anwendungen wie

E-Mail, WWW, Chat, digitale Zahlungssysteme, VoIP, … • Zunehmende Vernetzung, Komplexität, Allgegenwärtigkeit• Cloud Computing, „Industrie 4.0“, „Internet of Things“, …

Mit zunehmendem Einsatz von IT-Systemen steigt auch die Abhängigkeit von diesen Systemen sich dabei ergebende Probleme müssen verstanden werden.



Information• Klassische Informationstheorie: Betrachtung statistischer

Aspekte, Abstraktion von semantischen und pragmatischen Aspekten

• Hier jedoch: Betrachtung des Wertes von Informationen relevant

• Eigenschaften von Informationen: [Weck_84]– Informationen haben Wert durch alleinigen Besitz– Informationen sind duplizierbar– Wertzuwachs durch Akkumulation möglich



Missbrauchsmöglichkeiten• Mehrnutzerbetrieb, Übertragung der Daten über

Kommunikationsnetze – für die Nutzer schwer feststellbar, ob sie im alleinigen Besitz der Informationen sind

• Datenbestände können leicht kopiert und damit dupliziert werden

• Datenbestände können manipuliert werden• große Datenbestände können gezielt nach speziellen

Gesichtspunkten selektiert und spezielle Informationen herausgefiltert werden

• Möglichkeiten der Verletzung der Privatsphäre (Erfassung personenbezogener Daten, Zusammenführen und Abgleichen verschiedener Datenbestände Profile)



Planung und Realisierung von IT-Systemen• Neben üblichen Aspekten wie

– Funktionalität– Kosten– Zuverlässigkeit der Technik– Benutzbarkeit

• … zusätzlich Parameter der IT-Sicherheit beachten– Integrität– Vertraulichkeit und– Verfügbarkeit der Informationen


Sicherheit• Relevante Sicherheitseigenschaften eines IT-Systems:

– System erbringt die Dienste, die von ihm erwartet werden– System erbringt keine verdeckten Dienste … trotz aller Arten unerwünschter Ereignisse

• Relevante Aspekte bei der Betrachtung von Sicherheit:

9Datensicherheit WS 2019/2020

Was soll geschützt werden? Definition von SchutzzielenWovor soll geschützt werden? Analyse von Bedrohungen,

Definition von Angreifermodellen

Wie soll geschützt werden? Auswahl von Schutzmechanismen

1 Einführung – Schutzziele

Bedrohungen und korrespondierende Schutzziele

Bedrohungen:

1) Unbefugter Informationsgewinn

2) Unbefugte Modifikation der Information

3) Beeinträchtigung der Funktionalität


Schutzziele:

Vertraulichkeit

Integrität

Verfügbarkeit

1) nicht erkennbar, aber verhinderbar; nicht rückgängig zu machen2)+3) nicht verhinderbar, aber erkenbar; rückgängig zu machen

keine Klassifikation, aber pragmatisch sinnvollBeispiel: Programm unbefugt modifiziert

für berechtigte Nutzer

Bsp.: medizinisches Informationssystem

Rechnerhersteller erhält Krankengeschichten

unerkannt Dosierungsanweisungen ändern

erkennbar ausgefallen



Schutzziele (übliche Einteilung)1. Vertraulichkeit (confidentiality):

Informationen dürfen nur Berechtigten bekannt werden.2. Integrität (integrity):

Informationen sind richtig, vollständig und aktuell oder aber dies ist erkennbar nicht der Fall.

3. Verfügbarkeit (availability):Informationen sind dort und dann zugängig, wo und wann sie von Berechtigten gebraucht werden.

subsumiert: Daten, Programme, Hardwarestrukturen es muss geklärt werden, wer in welcher Situation wozu berechtigt

ist kann sich nur auf das Innere eines Systems beziehen



Weitere Schutzziele

Inhalte Umstände

Unerwünschtes verhindern

VertraulichkeitVerdecktheit

AnonymitätUnbeobachtbarkeit

Erwünschtes leisten

Integrität Zurechenbarkeit

VerfügbarkeitErreichbarkeit Verbindlichkeit



Weitere Schutzziele der Kategorie „Unerwünschtes verhindern“

• Verdecktheit: Versteckte Übertragung von vertraulichen Daten. Niemand außer den Kommunikationspartnern kann die Existenz einer vertraulichen Kommunikation erkennen.

• Anonymität: Nutzer können Ressourcen und Dienste benutzen, ohne ihre Identität zu offenbaren. Selbst der Kommunikationspartner erfährt nicht die Identität.

• Unbeobachtbarkeit: Nutzer können Ressourcen und Dienste benutzen, ohne dass andere dies beobachten können. Dritte können weder das Senden noch den Erhalt von Nachrichten beobachten.



Weitere Schutzziele der Kategorie „Erwünschtes leisten“

• Zurechenbarkeit: Sendern bzw. Empfängern von Informationen kann das Senden bzw. der Empfang der Informationen bewiesen werden.

• Erreichbarkeit: Zu einer Ressource (Nutzer oder Maschine) kann Kontakt aufgenommen werden, wenn gewünscht.

• Verbindlichkeit: Ein Nutzer kann rechtlich belangt werden, um seine Verantwortlichkeiten innerhalb einer angemessenen Zeit zu erfüllen.



Mehrseitige Sicherheit

• Jeder Beteiligte hat Sicherheitsinteressen.

• Jeder Beteiligte kann seine Interessen formulieren.

• Konflikte werden erkannt und Lösungen ausgehandelt.

• Jeder Beteiligte kann seine Sicherheitsinteressen in den ausgehandelten Lösungen durchsetzen.

Sicherheit mit minimalen Annahmen über andere


1 Einführung – Datenschutz

Datenschutz• alle Vorkehrungen zur Verhinderung unerwünschter (Folgen

der) Datenverarbeitung für die Betroffenen• Persönlichkeitsrecht

• Datenschutz umfasst rechtliche und technische Aspekte• „Technisch-organisatorischer Datenschutz“: technische und

organisatorische Ziele und Maßnahmen, die zur Durchsetzung der juristischen Ziele notwendig sind

Datenschutz = Schutz der Privatsphäre



Brauchen wir Datenschutz?

„Ich habe nichts zu verbergen.“

• Wirklich keine privaten Daten???• Missbrauch privater Daten• Beeinflussung des Verhaltens

Volkzählungsurteil 1983: • Gefährdung des Rechts auf freie Entfaltung und Handlungsfreiheit• Begründung: Wer nicht weiß, wer wann wo welche Daten über ihn

speichert, verknüpft und auswertet, muss damit rechnen, dass abweichendes Verhalten protokolliert und gespeichert wird.

Recht auf informationelle Selbstbestimmung:Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.



Rechtliche Regelungen • Europäische Datenschutzgrundverordnung (DSGVO) gültig seit

25.05.2018– Verarbeitung personenbezogener Daten durch in der EU

niedergelassene Unternehmen– Anwendbar für außereuropäische Unternehmen, die auf dem

europäischen Markt tätig sind (Personen in der EU Waren oder Dienstleistungen anbieten oder das Verhalten von Personen in der EU beobachten)

• Deutschland: neues Bundesdatenschutzgesetz (BDSG), ebenfalls gültig seit 25.05.2018

• Grundsätzliches Ziel: Gefährdung des Persönlichkeitsrechts von vornherein verhindern durch Regeln für die Verarbeitung personenbezogener Daten

• Ausnahmen: Verarbeitung der Daten ausschließlich für persönliche oder familiäre Zwecke


Personenbezogene Daten• „… alle Informationen, die sich auf eine identifizierte oder

identifizierbare natürliche Person (… „betroffene Person“) beziehen.“ [Art. 4 Abs. 1 DSGVO]

• Identifizierbar: Person kann direkt oder indirekt identifiziert werden, insbesondere mittels Zuordnung – zu einer Kennung wie z.B. Namen, Kennnummer, Standortdaten

oder Online-Kennungen oder– zu einem oder mehreren besonderen Merkmalen, die Ausdruck

der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität einer natürlichen Person sind

• Besondere personenbezogene Daten (ethnische Herkunft, politische Meinung, Glaube, …, Gesundheitsdaten, genetische und biometrische Daten)




Die sieben Säulen des DatenschutzesRe

chtm

äßig

keit

Zwec

kbin

dung

Tran

spar

enz

Korr

ektu

rrec

hte

Dat

ensi

cher

heit

Kont

rolle

San

ktio

nen

Recht auf informationelle Selbstbestimmung

Datenschutz


Rechtmäßigkeit• Generell gilt: Verbot mit Erlaubnisvorbehalt Verarbeitung ist grundsätzlich verboten und eine begründungsbedürftige Ausnahme

• Verarbeitung personenbezogener Daten muss „auf rechtmäßige Weise … erfolgen“ [Art. 5 Abs 1a DSGVO]

• Rechtmäßigkeit: [Art. 6 DSGVO] Einwilligung der betroffenen Person oder Rechtsgrundlage

• Anforderungen bzgl. der Einwilligung– Einwilligung muss freiwillig erfolgen– „unmissverständlich abgegebene Willensbekundung“– Betroffener muss informiert sein– Verantwortlicher muss Einwilligung nachweisen können– Widerrufbarkeit der Einwilligung



Zweckbindung• Erhebung personenbezogener Daten nur für festgelegte,

eindeutige und rechtmäßige Zwecke erlaubt• Information der Betroffenen über den Zweck bei Einwilligung

notwendig• Weiterverarbeitung nur möglich, wenn mit ursprünglichem

Erhebungszweck vereinbar

• Prinzip der Datenminimierung/DatensparsamkeitBegrenzung auf die für den jeweiligen Zweck notwendigen Daten

• Prinzip der Speicherbegrenzung



Transparenz• Grundsatz: Verarbeitung personenbezogener Daten muss „in

einer für die betroffene Person nachvollziehbaren Weise“erfolgen [Art. 5 Abs 1a DSGVO]

• Informationspflicht: verantwortliche Stelle muss bei Erhebung der Daten aktiv werden

• Auskunftsanspruch: von Betroffenen geltend zu machen

• Informationen, die den Betroffenen zustehen (Auswahl)– Zweck der Verarbeitung, Absicht der Übermittlung nebst

Empfänger(-kategorien), Speicherdauer und –kriterien, Hinweis auf Rechte der Betroffenen, Kontaktdaten des Verantwortlichen und seines Datenschutzbeauftragten

• Ausnahmen bzgl. Informationspflicht und Auskunftsrecht (z.B. wenn Betroffener bereits über die Informationen verfügt)



Korrekturrechte• Grundsatz „Richtigkeit“• Berichtigung, falls die erhobenen Daten nicht korrekt sind• Löschen, z.B., falls Daten nicht mehr notwendig sind oder

Einwilligung widerrufen wurde• „Recht auf Vergessenwerden“• Einschränkung der Verarbeitung: Daten dürfen nur noch

gespeichert, aber nicht mehr verarbeitet werden

Kontrolle• Intern: betrieblicher Datenschutzbeauftragter• Extern: Aufsichtsbehörde

Sanktionen• Geldbußen/Freiheitsstrafen



Grundsätze für die Verarbeitung personenbezogener Daten [Art. 5 DSGVO]• Rechtmäßigkeit, Treu und Glauben, Transparenz• Zweckbindung• Datenminimierung• Richtigkeit• Speicherbegrenzung

• Integrität und Vertraulichkeit– Art. 32 DSGVO: Forderung geeigneter technischer und

organisatorischer Maßnahmen zur Erreichung eines angemessenen Schutzniveaus

• Rechenschaftspflicht– Verantwortlicher muss die Einhaltung dieser Prinzipien

nachweisen können



Datenschutzfreundliche Verarbeitung• Datenschutz durch Technikgestaltung

Verantwortlicher trifft bei Festlegung der Mittel für die Verarbeitung sowie bei der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen zur Durchsetzung der Datenschutzgrundsätze(„Privacy by design“)

• Datenschutzfreundliche VoreinstellungenVoreinstellungen gewährleisten, dass nur für den jeweiligen Zweck erforderliche personenbezogene Daten verarbeitet werden(„Privacy by default“)



Risiken für den Datenschutz durch IKT• Aktionen in der Online-Welt hinterlassen unbemerkt

Datenspuren• Ubiquituous Computing• Speicherung und Auswertung großer Datenmengen

unproblematisch• Kontrolle für den Nutzer schwierig

Bewusstsein für die Problematik Technische Lösungen notwendig



Datenschutzmodelle: Sphärenmodell• Bereiche unterschiedlicher Schutzwürdigkeit durch

konzentrische Kreise (z.B. 3) dargestellt, nach außen hin abnehmende Schutzwürdigkeit

• Zuordnung der Daten zu den Sphären individuell• Zuordnung auch abhängig von Situation


Intimsphäre

Privatsphäre

freier Bereich


Datenschutzmodelle: Mosaikmodell• Informationen über einen Menschen lassen sich in einzelne

Teile zerlegen• Zusammenfügen der Einzelteile ergibt u.U. präzises

Gesamtbild der Person

• Berücksichtigt auch den Schutz von Daten, die laut Sphärenmodell nicht zum absolut schützenswerten Bereich gehören

• Zugriff auf die einzelnen Teile nicht dargestellt• Überprüfung, welche Verknüpfungen kritisch sind, ist schwierig • Nicht nur Datenerfassung, auch Datenverarbeitung berücksichtigen



Datenschutzmodelle: Rollenmodell• Menschen agieren in unterschiedlichen Rollen, Darlegung

aller Informationen ist nicht notwendig zur Erfüllung der einzelnen Rollen

• Statt Trennung der Daten in Bereiche verschiedener Sensibilität Erzeugung von Einzelbildern

• Beibehaltung der Trennung der Einzelbilder• Selbstbestimmung der Datenweitergabe nur bedingt

(problematisch z.B. gegenüber öffentlichen Behörden)


Arzt

FamilieArbeit-geber

Kranken-versicherung


Datenschutzfördernde Techniken• Privacy-enhancing Technologies (PETs)

– Information supression tools (Opacity tools)– Transparency-enhancing tools (TETs)

• Opacity Tools– Anfallen von Daten soll möglichst verhindert werden– Techniken zur Anonymisierung, Pseudonymisierung,

Verschleierung, …

• Transparency-enhancing Tools– Nutzer sollen informiert werden, wenn personenbezogene Daten

gesammelt und genutzt werden– Logging, Policies, …




1. Einführung2. Bedrohungspotenziale von IT-Systemen

– Klassen von Bedrohungen– Sicherheitsprobleme– Malware– Angreifermodell

3. IT-Sicherheitsmanagement4. Ausgewählte Schutzmaßnahmen5. Kodierverfahren6. Kryptographische Verfahren7. Multimedia-Sicherheit


2 Bedrohungspotenziale – Klassen von Bedrohungen

Bedrohungen durch unerwünschte Ereignisse

Unbeabsichtigte Ereignisse

• Nichtabsehbare Folgen von Handlungen und Ereignissen

• Ausfall oder Fehlverhalten technischer Mittel

• Fahrlässige Handlungen / Unterlassungen

Beabsichtigte Angriffe

• Vorsätzliche Handlungen / Unterlassungen

Schutz gegen unbeabsichtigte Ereignisse: Safety

Schutz gegen beabsichtigte Angriffe: Security


2 Bedrohungspotenziale – Klassen von Bedrohungen

Unbeabsichtigte Ereignisse

Nichtabsehbare Folgen von Handlungen und Ereignissen • Höhere Gewalt (z.B. Blitzschlag, Brand, Wasser)• Störungen der Energieversorgung, indirekte Blitzschäden, Immision

und Emission

Ausfall oder Fehlverhalten technischer Mittel• Hardware / Software• Energie-, Klima- und andere Versorgungstechnik• Kommunikationseinrichtungen• Sicherungstechnik

Fahrlässige Handlungen / Unterlassungen• Unterlassung notwendiger Handlungen• Leichtsinn, Unvermögen, Unachtsamkeit, Spieltrieb


2 Bedrohungspotenziale – Sicherheitsprobleme

Sicherheitsprobleme (Beispiele)• Vernetzung, Komplexität, Allgegenwärtigkeit

– Angriffsziele, Beherrschbarkeit, verfügbare Daten

• Verfügbarkeit von Angriffswerkzeugen und Angriffsmethoden– Angriffe auch ohne technisches Know-How möglich

• Fehlendes Sicherheitsbewusstsein und „digitale Sorglosigkeit“– Unzureichender Einsatz angemessener Sicherheitsmaßnahmen– Passwörter leicht zu ermitteln

• Hohe Anzahl (kritischer) Schwachstellen– Gefahr durch Details über Schwachstellen oder Exploits– Einsatz veralteter Software und ungepatchter Software



Beispiele für Angriffsmittel und –methoden (1)• Ausnutzen von Schwachstellen in Software

– Existenz kritischer Schwachstellen bei komplexer Software– Gefährdung durch (noch) nicht öffentlich bekannte

Schwachstellen– Gefährdung auch für industrielle Steuerungsanlagen

• Malware („Schadsoftware“)– zunehmend auch für mobile Geräte– Ransomware: Malware, die den Zugriff auf Daten,

Anwendungen oder Geräte verhindert oder einschränkt und nur durch Zahlung eines Lösegeldes („ransom“) wieder freigibt



Beispiele für Angriffsmittel und –methoden (2)• Spam

– Inhalt oft nicht nur unerwünschte Werbung, sondern auch Nutzung für weitere Angriffe (z.B. Verbreitung von Malware)

• Drive-by-Exploits– automatisierte Ausnutzung von Sicherheitslücken durch den

Besuch einer präparierten Webseite (ohne weitere Nutzerinteraktionen)

• Botnetze– Verbund von Systemen, die von einer ferngesteuerten

Schadprogrammvariante (Bot) befallen sind– Angreifer gewinnen damit Zugriff auf große Ressourcen an

Rechnerkapazität und Bandbreite



Beispiele für Angriffsmittel und –methoden (3)• Denial of Service (DoS)

– Stören der Verfügbarkeit von Systemen, Webseiten oder Diensten durch eine Vielzahl von Anfragen oder Datenpaketen

– Ausführung des Angriffs parallel mittels mehrerer Systeme: verteilter DoS-Angriff (Distributed Denial of Service, DDoS)

• Social Engineering– Angriffe nicht-technischer Art („Trickbetrug“)– Nutzer werden z.B. zur Preisgabe von Daten oder zur

Umgehung von Schutzmaßnahmen verleitet (Beispiel: Phishing)– Statt breit gestreuter Phishing-Kampagnen zunehmend gezielte

Phishing-Angriffe (Spear-Phishing)


2 Bedrohungspotenziale – Malware

Malware (Malicious software)• Computerprogramme, welche unerwünschte oder schädliche

Funktionen ausführen• Verschiedene Arten wie Viren, Trojaner, Trojaner usw.;

Zuordnung oft schwierig

• Viren – Selbstreproduzierend – Keine selbständige Software – benötigt Wirt (beispielsweise die

Softwareanwendung)– Wirkungsweise:

• Start des infizierten Programms: Aktivierung des Virus

• Virus infiziert selbständig andere Programme

• Virus aktiviert Schadens-funktion oder reaktiviert Wirtsprogramm

infiziertes Programm

ausführbare Datei

ausführbare Dateiausführbare

Datei

ausführbare Datei

Schadens-funktion



– Infizierbare Dateien:• Ausführbare Dateien (Programmdateien,

Programmbibliotheken, Skripte)• Dateien, die ausführbare Inhalte beinhalten (Makros)• Infektion von Bootsektoren

– Schadensfunktion möglicherweise an Bedingung geknüpft

– Verbreitung über …• E-Mail-Anhänge (Nutzung von SPAM-Mails, Versand über

Bot-Netze) • in E-Mails enthaltene Links auf Schadsoftware

[BSI: Die Lage der IT-Sicherheit in Deutschland 2018.]• Drive-by-Exploits• Schadcode in Form von Java-Script-Dateien oder in Office-

Dokumenten eingebetteten Makros (nach Ausführung Nachladen des eigentlichen Schadprogramms)

–



• Trojanisches Pferd– Systemteil, welches unter Ausnutzung der ihm anvertrauten

Daten und Rechte mehr als das von ihm Erwartete oder von ihm Erwartetes falsch oder nicht tut

– Universelles trojanisches Pferd: Schadensfunktion nicht festgelegt, nur Schaffen eines Handlungsrahmens

– transitives trojanisches Pferd: Verbreitung über transitive Hülle der Entwurfshilfsmittel

trojanisches Pferd

Schadens-funktion

trojanisches Pferd

Schadens-funktion

(verdeckter)

EingabekanalHandlungs-

anweisungen



Schadensfunktion

Unbefugter Informations-

gewinn

Unerkannte Modifikation von Daten

Beeinträch-tigung der

Funktionalität des Systems

Vertraulichkeit Integrität Verfügbarkeit

Bed

rohu

ngen

Sch

utzz

iele

Lesezugriff, (verdeckter)

Ausgabekanal

Schreib-zugriff

Schreibzugriff, Ressourcen-verbrauch



Antiviren-Techniken

Statische TechnikenCode wird überprüft, ohne ihn auszuführen

• ScannerSuche nach bekannten Bit-mustern (Signaturerkennung)

• Statische HeuristikSuche nach virus-ähnlichen Codestücken (positive und negative Heuristiken)

• IntegritätsprüfungenEntdeckung unautorisierter Modifikationen

Dynamische TechnikenCode wird ausgeführt und das Verhalten beobachtet

• Monitoring der AktionenSuche nach auffälligen Aktivitäten ( Abweichungen von “normalen” Aktivitäten; positive und negative Beschreibung)

• EmulationAusführung des Programms in emulierter Umgebung


Scanner Heuristik Integritäts-prüfung

Monitoring Emulation


Vergleich der Antiviren-Techniken bzgl. Erkennbarkeit

Bekannte und unbekannte Viren erkennbar

Keine Identifizierung

Notwendig: Bitmuster

Identifizie-rung des Virus

Probleme: neue Soft-ware, autori-sierte Änderungen

Notwendig: Beschreibung, was als Virus anzunehmen ist

Nur bekann-te Viren erkennbar



– Antivirenprogramme sinnvoll, können aber generell nicht alle Viren erkennen (nachweisbar)

– Zugriffskontrolle – Prinzip „least privilege“:• nur die Rechte vergeben, die unbedingt benötigt werden (erfordert

Möglichkeit feingranularer Rechteverwaltung)• Arbeit mit verschiedenen Benutzeraccounts

– Wichtig: Problembewusstsein, z.B. • E-Mails genau ansehen, Anhänge nicht unüberlegt öffnen, nicht

sofort auf enthaltene Links klicken• Kein unvorsichtiger Besuch dubioser Webseiten• Software auf dem neuesten Stand halten, damit keine bekannten

Schwachstellen ausgenutzt werden können

– Aktuelle Informationen über Computerviren, Sicherheitslücken und Angriffe: Bürger CERThttp://www.buerger-cert.de/(CERT: Computer Emergency Response Team)


2 Bedrohungspotenziale – Angreifermodell

Potentielle Angreifer – Vor wem ist zu schützen?• Naheliegend: Betrachtung von Nutzern des Systems und

Außenstehenden– Dienstanbieter – Berechtigte Nutzer– Außenstehende– Wartungsdienst– …

• Ebenfalls zu beachten: Beteiligte am Entwicklungsprozess– Produzenten des Systems– Entwerfer des Systems– Produzenten der Entwurfs- und Produktionshilfsmittel – …

• … ergibt auch eine Betrachtung des Einflusses weiterer IT-Systeme



Generell: Kein Schutz vor einem allmächtigen Angreifer!

Ein allmächtiger Angreifer …• kann alle ihn interessierenden Daten erfassen• kann Daten unbemerkt ändern• kann die Verfügbarkeit des Systems durch physische Zerstörung

beeinträchtigen

AngreifermodellAngabe der maximal berücksichtigten Stärke eines Angreifers, d.h., Stärke des Angreifers, gegen die ein bestimmter Schutzmechanismus gerade noch sicher ist



Inhalt des Angreifermodells• Rollen des Angreifers

(Nutzer, Außenstehender, …)

• Verbreitung des Angreifers (kontrollierte Subsysteme, Leitungen, …)

• Verhalten des Angreifers (passiv/aktiv, beobachtend/verändernd)

• Rechenkapazität (komplexitätstheoretisch (un)beschränkt)

• Verfügbare Mittel (Zeit, Geld)



Realistisches Angreifermodell• Berücksichtigung aller Angreifer

Momentan erwartete und während der Lebenszeit des Systems zu erwartenden Angreifer berücksichtigen.

• Einfach Restrisiken durch nicht abgedeckte Angreifer müssen verständlich sein.

• RealisierbarGegen aufgestelltes Angreifermodell sicheres System muss mit vertretbarem Aufwand realisiert und betrieben werden können.



1. Einführung2. Bedrohungspotenziale von IT-Systemen3. IT-Sicherheitsmanagement

– Grundsätzliches– Standards– ISMS– IT-Sicherheitskonzept

4. Ausgewählte Schutzmaßnahmen5. Kodierverfahren6. Kryptographische Verfahren7. Multimedia-Sicherheit


3 IT-Sicherheitsmanagement – Grundsätzliches

Relevanz von Datensicherheit• Wirtschaftliche Aspekte

– Kosten und Folgekosten durch Ausfall

– Wettbewerbsvorteil• Rechtliche Aspekte

– Haftungsfragen

Vielfältige Bedrohungen• Unbeabsichtige Fehler und

Ereignisse – Ausfälle, Fehlverhalten– Fahrlässigkeit

• Beabsichtigte Angriffe– Vorsätzliche Handlungen

Notwendigkeit eines (IT-)Sicherheitsmanagements• Gesamtheit aller Handlungen zur Erreichung von IT-Sicherheit

(Sicherung der Funktion und Eigenschaften eines IT-Systems trotz unerwünschter Ereignisse)

• Beschränkung der Restrisiken auf ein tragbares Maß(IT-Risikomanagement)



Sicherheit um jeden Preis?Sicherheit• verursacht Kosten• reduziert eventuell die Systemleistung• kann Unbequemlichkeiten zur Folge haben

… nicht nur Einfluss auf Effizienz, sondern auch auf Akzeptanz der Schutzmechanismen durch die Nutzer

Grundsatz:Was ist nötig und nicht was ist möglich! Prinzip der Angemessenheit

ausgewogenes Verhältnis zwischen Sicherheitsanforderungen und Aufwand für Realisierung der Maßnahmen, Reduzierung der Risiken



Erreichbare Sicherheit • Keine 100%ige Sicherheit möglich

– Kein Schutz gegen alle möglichen Bedrohungen– Schutzmaßnahmen selbst können keine absolute Sicherheit

bieten

• Erreichtes Sicherheitsniveau ist nicht dauerhaft– Ausgewählte Schutzmaßnahmen „statisch“– Bisher nicht bekannte Sicherheitslücken bzw. Schwachstellen;

neue Angriffsmöglichkeiten



• Erreichtes Sicherheitsniveau bezieht sich auf genau abgegrenztes Szenario– Grundlage für Auswahl der Maßnahmen: gegenwärtige

Strukturen (Systeme, Netz, Geschäftsprozesse) und Annahmen über Einsatzumgebung

– Selbst geringe Änderungen an Geschäftsprozessen, IT, etc. können sich auf die Sicherheit auswirken

– Änderung externer Rahmenbedingungen wie vertragliche oder gesetzliche Vorgaben

• Sicherheit funktioniert nur in einem sensibilisierten Umfeld– Problembewusstsein und Problemwissen („Awareness“)

Sicherheit ist kein erreichbarer Zustand, sondern ein Prozess.



Problembewusstsein und Problemwissen („Awareness“) • Sensibilisierung

– sowohl auf Leitungsebene als auch bei Mitarbeitern erforderlich

• Schulung– Vermittlung des notwendigen Sicherheitswissens – jeder

Mitarbeiter muss die für seinen Arbeitsplatz wichtigen Sicherheitsziele und Sicherheitsmaßnahmen kennen

• Training– Verankerung der sicherheitskritischen Tätigkeiten, so dass sie

im Bedarfsfall routiniert und fehlerfrei ausgeführt werden können

• Awareness-Plan und Nachweise



Sicherheitsmanagement – Anforderungen• Verantwortung für IT-Sicherheit liegt beim Unternehmen,

welches das IT-System einsetzt

• Wichtige Aspekte– IT-Sicherheit als Daueraufgabe aller Mitarbeiter betrachten– Klären der Verantwortlichkeiten– Verständliche Dokumentation– Nutzung erprobter (ggf. standardisierter) Vorgehensmodelle

z.B.: ISO 27002, IT-Grundschutz (BSI, neue Version 2017)– Regelmäßige Überprüfung von Vorgaben und ihrer Einhaltung


3 IT-Sicherheitsmanagement – Standards

Ziele beim Einsatz von Standards

Kostensenkung

Nutzung vorhandener und praxiserprobter Vorgehensmodelle

Methodische Vereinheitlichung u. Nachvollziehbarkeit Ressourceneinsparung durch Kontinuität und

einheitliche Qualifikation Interoperabilität

Einführung einesangemessenen

Sicherheitsniveaus

Orientierung am Stand der Technik und Wissenschaft Gewährleistung der Aktualität Verbesserung des Sicherheitsniveaus durch die

Notwendigkeit der zyklischen Bewertung

Wettbewerbs-vorteile

Zertifizierung des Unternehmens sowie von Produkten Nachweisfähigkeit bei öffentlichen und

privatwirtschaftlichen Vergabeverfahren Verbesserung des Unternehmensimage Stärkung der Rechtssicherheit

[BITKOM, DIN: Kompass der IT-Sicherheitsstandards. Version 4.0, August 2009.]



Überblick über ISO/IEC 2700x• Adressiert Management von Informationssicherheit

• Beispiele– ISO 27000: Überblick über ISMS und über die weiteren

Standards der 2700x-Reihe, Terminologie– ISO 27001: Zertifizierungsanforderungen an ein ISMS– ISO 27002: Leitfaden zum Informationssicherheitsmanagement

(vorher: ISO 17799)– ISO 27003: Implementierungsrichtlinien für ein ISMS– ISO 27004: Kennzahlensysteme für ein ISMS– ISO 27005: Rahmenempfehlungen zum Risikomanagement



ISO/IEC 27002• „Code of practice for information security controls“

Leitfaden zum InformationssicherheitsmanagementVeröffentlichung: Oktober 2005, aktuell: 27002:2013

• Ziel– Darstellung der erforderlichen Schritte, um ein funktionierendes

Sicherheitsmanagement aufzubauen und in der Organisation zu verankern

Richtlinien und allgemeine Prinzipien für das Initiieren, Umsetzen, Aufrechterhalten und Verbessern des Informationssicherheitsmanagements



• Empfehlungen sind in erster Linie für die Management-Ebene gedacht und enthalten daher kaum konkrete technische Hinweise

• erforderliche Sicherheitsmaßnahmen werden nur kurz beschrieben

• Unternehmen und Organisationen aller Branchen sollten die im Standard aufgeführten Richtlinien beachten und umsetzen

• Umsetzung der Sicherheitsempfehlungen der ISO 27002 ist eine von vielen Möglichkeiten, die Anforderungen des ISO-Standards 27001 („Information security management systems - Requirements“ – Anforderungen an ISMS) zu erfüllen



ISO 27002 – Inhalt• Security Policy • Organization of Information Security • Human Resources Security • Asset Management • Cryptography• Physical and Environmental Security • Operations Security• Communications Security• Information Systems Acquisition, Development, Maintenance• Supplier Relationships• Information Security Incident Management• Information Security Aspects of Business Continuity• Compliance


BSI-Standards• 200-1 Managementsysteme für Informationssicherheit (ISMS)

Allgemeine Anforderungen an ein ISMS, kompatibel mit ISO/IEC 27001, Begriffe entsprechend ISO/IEC 27000

• 200-2 IT-Grundschutz-MethodikAnleitung zum Aufbau und Betrieb eines ISMS in der Praxis; unterschiedliche Vorgehensweisen: Basis-Absicherung, Kern-Absicherung und Standard-Absicherung; konkrete Umsetzungshinweise: IT-Grundschutz-Kompendium (prozess- und systemorientierte Bausteine)

• 200-3 Risikoanalyse auf der Basis von IT-GrundschutzVereinfachte Analyse von Risiken auf Basis des IT-Grundschutzes

• 200-4 Notfallmanagement



3 IT-Sicherheitsmanagement – ISMS

Informationssicherheits-Management-System (ISMS)• Teil des Managementsystems, das sich mit

Informationssicherheit befasst• Ziel: Aufbau und kontinuierliche Umsetzung von

Informationssicherheit

• Komponenten des ISMS– Management-Prinzipien– Ressourcen– Mitarbeiter– Sicherheitsprozess

• Sicherheitsleitlinie • Sicherheitskonzept• Sicherheitsorganisation

• Kontinuierlicher Prozess Lebenszyklus (PDCA-Modell)



PDCA-Zyklus

Planung und Konzeption

Plan

Umsetzung der Planung – implemen-tieren und betreiben

Do

Optimierung und Verbesserung

Act

Überwachung der Zielerreichung

Check



ISMS: Sicherheitsprozess• Planung des Sicherheitsprozesses

– Ermittlung der Rahmenbedingungen, Formulierung der allgemeinen Sicherheitsziele

– Erstellung einer IT-Sicherheitspolitik• Umsetzung der Sicherheitsziele: IT-Sicherheitskonzept

– Erstellung eines IT-Sicherheitskonzepts:Analyse der Sicherheit, Auswahl und Begründung von Maßnahmen

– Umsetzung, Kontrolle, Verbesserung• Aufrechterhaltung der Sicherheit und Verbesserung

– Regelmäßige Überprüfungen – Nutzung der Ergebnisse für Optimierung und Verbesserung



IT-Sicherheitspolitik (IT-Sicherheitsleitlinie)• Grundsatz-Erklärung der Unternehmensleitung zur IT-

Sicherheit• Ableitung allgemeiner Sicherheitsziele aus grundsätzlichen

Zielen der Institution und allgemeinen Rahmenbedingungen

• Inhalt– Charakterisierung des Unternehmens– Geltungsbereich der Sicherheitspolitik– Bedeutung der Sicherheit– Gefährdungslage– Weitere Vorgaben– Organisationsbeschluss und Verpflichtungserklärung



IT-Sicherheitskonzept

Risikoanalyse

Festlegung der Maßnahmen

Anforderungs-analyse

Was ist zu schützen?

Wovor ist zu schützen?

Wie ist zu schützen?


3 IT-Sicherheitsmanagement – IT-Sicherheitskonzept

Anforderungsanalyse• „Bestandsaufnahme“: Objekte, die für den festgelegten

Geltungsbereich relevant sind– IT-Anwendungen und Geschäftsprozesse– IT-Systeme, Netze, Kommunikationsverbindungen– Infrastruktur– Daten

• Schutzbedarfsfeststellung– Betrachtung von Schäden für die Anwendungen und Daten bei

Beeinträchtigung von Vertraulichkeit, Integrität und Verfügbarkeit

– Wichtung der Schutzziele (z.B. „normal“, „hoch“, „sehr hoch“)

• Gesetze, Verträge und unternehmensinterne Regelungen



Risikoanalyse: Risikobildungsmodell

• Risiko: nach Häufigkeit (Eintrittserwartung) und Auswirkung (Schadensmaß) bewertete Gefährdung eines Systems

• Betrachtet wird immer die negative, unerwünschte und ungeplante Abweichung von Systemzielen und deren Folgen

Risiken

Bedro-hungen

Schwach-stellen

Gefährdende EreignisseAusmaß

HäufigkeitGefahren Objekte

Schäden



Risikoanalyse• Ermittlung aller vorstellbaren Bedrohungen und

Schwachstellen, die zu Schäden am IT-System führen können (Bedrohungsanalyse, Schwachstellenanalyse; Hilfsmittel: Checklisten)

• Bewertung möglicher Auswirkungen (Impactanalyse)• Beschreibung des Ist-Zustandes der Sicherheit als Grundlage

zur Auswahl der Maßnahmen

• Bewertung der Risiken:Bestimmung der Eintrittswahrscheinlichkeiten und der möglichen Schäden



• Quantifizierung von Risiko nach der Berechnungsformel

R = pst · SH

R – Risikopst – Bewertung der Wahrscheinlichkeit für das Auftreten

einer StörungSH – Bewertung der Schadenshöhe für den Fall der

eingetretenen Störung

Probleme: – Grundlage: Statistiken, Erfahrungen; Randbedingungen der

Statistiken?– Ermitteln der Wahrscheinlichkeiten schwierig (z.B. Motivation

von Angreifern …)– Ungenauigkeiten werden durch die Multiplikation verschärft

[VDE 3100 Teil 2]



• Ordinalskala zur qualitativen Bewertung der Risiken

Risikomatrix(Beispiel)

pst SH

Sehr hoch existenziell

Hoch Groß

Mittel Mittel

Gering GeringSehr gering Unbedeutend

SH

p st

gering

mittel

hoch

extrem hochRis

ikok

lass

en tragbar

untragbar

Akzeptanzlinie (durch Unternehmens-

leitung festgelegt)

Klassen für pst und SH (Beispiel; max. 5 Klassen)



Festlegung der Maßnahmen• Risiken auf ein akzeptables Maß reduzieren • Anforderungen aus einzuhaltenden Gesetzen und

Verträgen sowie interne Regeln des Unternehmens erfüllen

• Aufgaben – Auswahl von Maßnahmen– Validierung der Maßnahmen– Analyse des Restrisikos



Maßnahmenklassifikation: Zielrichtung

Gesamtrisiko

vermeiden

• Gebäude

• Zutrittskontrollen

• Redundanzen

• Personal

• Gewaltentrennung

• Sicherung derDaten

• Kryptographie

vermindern

• Krisenstäbe

• Katastrophen-pläne

• Ausbildung

• Training

überwälzen

• Versicherung

selbst tragen

• Restrisiko



Maßnahmenklassifikation: Zeitpunkt der Wirkung

Schadens-ereignis

Zeit t

pre-loss

post-loss

ursachen-bezogen

wirkungs-bezogen

vermeiden

vermindern

überwälzen

selbst tragen

Wahrschein-lichkeit

Schadenshöhe



• Auswahl von Maßnahmen– Hinweise und Beispiele in Standards (ISO 27002, IT-

Grundschutzhandbuch, …)– gesetzliche, vertragliche oder unternehmensinterne Vorgaben– Fachliteratur, Beratung

– Beispiele für Maßnahmen • Infrastrukturelle Maßnahmen: Brandschutz, Sicherung der

Energieversorgung• Organisatorische Maßnahmen: Zugriffsberechtigungen,

Konzepte für Datensicherung• Personelle Maßnahmen: Maßnahmen bei Einstellung und

Ausscheiden, Schulung• Technische Maßnahmen: bzgl. Hard- und Software /

Kommunikation; Datensicherungsmaßnahmen, Kryptographie



• Validierung der Maßnahmen– Eignung (Maßnahme muss sich gegen die betrachtete

Bedrohung richten bzw. den erwarteten Schaden mindern)– Wirksamkeit (Maßnahme muss genügend stark sein)– Zusammenwirken (geplante Maßnahme darf nicht genutzt

werden können, um andere Sicherheitsmaßnahmen zu unterlaufen)

– Praktikabilität (leicht verständlich, einfach anwendbar, wenig fehleranfällig)

– Akzeptanz (für alle Benutzer ohne Beeinträchtigung anwendbar)– Wirtschaftlichkeit und Angemessenheit

• Analyse des Restrisikos– Gegen welche Bedrohungen wird in welchem Maß Schutz

erreicht– kein untragbar hohes Risiko mehr nach diesem Schritt



Ergebnis: IT-Sicherheitskonzept• Vorspann mit Zusammenfassung für das Management,

Glossar• Gegenstand des Sicherheitskonzepts (Geltungsbereich)• Anforderungsanalyse• Risikoanalyse: Beschreibung des Ist-Zustandes • Festlegung der Maßnahmen mit Begründung der Auswahl• Beschreibung des Restrisikos



Lebenszyklus des IT-Sicherheitskonzepts• Plan:

– IT-Sicherheitskonzept

• Do: – Realisierungsplan für das Konzept– Umsetzung der Maßnahmen– Sensibilisierung und Schulung

• Check:– Detektion von Sicherheitsvorfällen– Überprüfung der Einhaltung der Maßnahmen– Berichte

• Act: – Beseitigung von Fehlern– Verbesserungen, Anpassungen an geänderte Bedingungen

Plan

DoAct

Check



1. Einführung2. Bedrohungspotenziale von IT-Systemen3. IT-Sicherheitsmanagement4. Ausgewählte Schutzmaßnahmen

– Personelle Maßnahmen– Zugriffsschutz– Maßnahmen zur Steigerung der Verfügbarkeit

5. Kodierverfahren6. Kryptographische Verfahren7. Multimedia-Sicherheit


4 Ausgewählte Schutzmaßnahmen – Personelle Maßnahmen

Personelle Maßnahmen• Einstellung der Nutzer und des Personals zur Datensicherheit• Akzeptanzproblem• „Social Engineering“

• Schulungsmaßnahmen– Klarheit über Sicherheitsmechanismen– Akzeptanz der Einschränkungen

• Weitere personelle Maßnahmen (Personal/Insider):– Maßnahmen bei Personalwechsel– Verantwortlichkeiten in Abständen wechseln– Schaffung eines guten Betriebsklimas– Kontrolle


4 Ausgewählte Schutzmaßnahmen – Zugriffsschutz

Benutzerberechtigungen• Fragen für Festlegung der Benutzerberechtigungen [Weck84]:

– Wer darf mit dem System arbeiten, Informationen lesen und verändern?

– Wann dürfen welche Operationen durchgeführt werden?– Wo darf ein Auftrag zu einer bestimmten Operation gegeben

werden?– Welche Information ist vor welcher Bedrohung zu schützen?– Was darf mit welchen Informationen gemacht werden?– Warum muss eine bestimmte Operation ausgeführt werden?

• Wichtige Prinzipien– Aufgabentrennung („separation of duties“)– Vier-Augen-Prinzip– minimale Rechtezuweisung („least privilege“)



Zugangskontrolle nur mit berechtigten Partnern kommunizieren

Benutzer-Prozess

••

Zugriffsmonitor

Berechtigung prüfen;Urheber und Operationprotokollieren

Daten,Pro-

gramme

Zugriffskontrolle Subjekt kann Operationen auf Objekt nur ausführen, wenn es ein Recht dazu hat.

vor Zugriff auf Daten oder Programme



Identifikation von Menschen durch IT-Systeme

Was man ist

HandgeometrieFingerabdruckAusseheneigenhändige UnterschriftRetina-MusterStimmeTipp-Charakteristik

PapierdokumentMetallschlüsselMagnetstreifenkarteChipkarteTaschenrechner

Passwort, PassphraseAntworten auf FragenRechnerergebnisse für Zahlen

hat

weiß

Biometrie



Identifikation von IT-Systemen durch Menschen

Was es istGehäuseSiegel, HologrammVerschmutzung

weißPasswortAntworten auf FragenRechnerergebnisse für Zahlen

Wo es steht



Identifikation von IT-Systemen durch IT-Systeme

Was es weiß

Leitung woher

PasswortAntworten auf FragenRechnerergebnisse für ZahlenKryptographie



• Zugriffsberechtigungen

• Allgemein: Zugriffskontrollmatrix

• Vereinfachung der Administration der Zugriffsrechte: Access Control List (ACL), Capability List (CL)

Subjekt Operation Objekt

Nutzer 1 r/w/x

Datei 1 Datei 2 Datei 4 Datei 5Datei 3

Nutzer 2

Nutzer 3

r/w/x

r/w/-

r/-/-

r/-/-

r/-/-

-/-/-

-/-/-

-/-/-

-/-/-

-/-/-

-/-/-

-/-/-

-/-/--/-/-



• Role Based Access Control (RBAC)– Grundidee: Repräsentation einer bestimmten Aufgabe und der

damit einhergehenden Zugriffsrechte durch eine Rolle– Abbildung der Aufgaben und Kompetenzen der einzelnen Stellen

innerhalb einer Organisation durch ein Rollenmodell– Zwei Aufgaben:

• Definition der Rollen und der zugehörigen Zugriffsberechtigungen (Rollenmodell)

• Zuweisung von Rollen zu den Subjekten– Bedingungen (z.B. zeitliche Einschränkungen, sich gegenseitig

ausschließende Rollen, Beschränkungen bzgl. der Anzahl, …)


4 Ausgewählte Schutzmaßnahmen – Verfügbarkeit

Möglichkeiten in vernetzten Systemen• Verteilung der Aufgaben• Umverteilung von Aufgaben bei Nichtverfügbarkeit von

Teilen des Systems• Durch Dezentralisierung Totalausfälle vermeiden

• Verbessern der Verfügbarkeit durch Redundanz

Strukturelle Redundanz

Statisch DynamischCold-Standby, Hot-Standby



Sicherung der Daten• Beeinträchtigung der Verfügbarkeit der Daten durch

– Stromausfall– Fehlfunktionen von Hard- und Software– böswillige Manipulationen– ...

• Zwei prinzipielle Ansätze für Sicherung der Daten– redundantes Abspeichern der Daten– Anlegen von Sicherheitskopien



Redundantes Abspeichern von Daten• Gleichzeitige Speicherung auf mindestens zwei separate,

externe Geräte

• Vorteile– gleiche Datenbestände auf zwei physisch getrennten Speichern– bei Nichtverfügbarkeit eines Gerätes kann sofort mit zweitem

weitergearbeitet werden– leichte Handhabbarkeit (parallel zum laufenden Betrieb)

• Nachteil– räumliche Nähe beider Geräte – gleiche Gefährdung beider

durch mutwillige Zerstörung und höhere Gewalt



• RAID– Redundant Array of Inexpensive Disks

(Patterson, Gibson und Katz 1982) später: Redundant Array of Independent Disks

– Steigerung der Verfügbarkeit und/oder der Leistung– Level beschreiben genaue Art der Nutzung der Festplatten

– RAID 0: Striping• Aufteilung der Daten in Blöcke, Schreiben auf die

vorhandenen Festplatten• Steigerung der Leistungsfähigkeit, keine Steigerung der

Verfügbarkeit

ACE

BDF



– RAID 1: Mirroring• Spiegelung der Daten – hohe Verfügbarkeit• Kapazität beschränkt auf Kapazität der kleinsten Platte

– RAID 2: Einsatz fehlerkorrigierender Hamming-Kodes– RAID 3: Paritätsbits auf Extraplatte– RAID 4: Paritätsbits auf Extraplatte, Arbeit mit größeren

Datenblöcken

ABC

ABC



– RAID 5: Striping und Parität• Verteilung der Daten und der Paritätsinformationen

– RAID 6: zusätzliche Paritätsinformationen; Schutz vor Ausfall einer 2. Platte

– Kombination verschiedener Level, insbesondere Level 0 und Level 1 (0+1 bzw. 1+0), um Steigerung von Effizienz und Verfügbarkeit zu erreichen

– Wichtig: Redundante Speicherung ist kein Ersatz für Datensicherung durch Backups!

BE

P(G,H,I)

CP(D,E,F)

H

ADG

P(A,B,C)FI



Anlegen von Sicherheitskopien• Sicherung von Daten, um im Fall eines Verlustes möglichst

schnell wieder den aktuellen Stand herstellen zu können

• Vorteil– Bessere räumliche Verteilung der Daten möglich

• Nachteil– Extra Prüfung notwendig, welche Verwendbarkeit der Kopie

sichert – oft merkt man zu spät, dass Kopie unbrauchbar ist Integrität der Kopien sicherstellen

• Organisatorische Aspekte – Welche Daten sind zu sichern?– In welchen Abständen ist zu sichern?– Wie viele Kopien sind anzufertigen?– Wie und wo werden die Kopien verwahrt?



• Auswahl der zu sichernden Daten– Kriterium: Möglichkeit der Wiederbeschaffung der Daten– Steigende Priorität:

BetriebssystemProgrammeInternet-DownloadsKonfigurationsdatenSelbst erstellte Dateien

• Häufigkeit der Änderung: statische vs. dynamische Daten



• Backup-StrategienVoll-Backup– Sicherung aller Daten

Inkrementelles Backup– Sicherung aller Änderungen seit dem letzten Backup– mehrfach hintereinander ausführbar– Wiederherstellung: letztes Voll-Backup und alle seitdem

erstellten inkrementellen Backups in der Reihenfolge ihrer Entstehung

Differenzielles Backup– Sicherung aller Änderungen seit dem letzten Voll-Backup– Wiederherstellung: letztes Voll-Backup und letztes

differenzielles Backup



• Anzahl der notwendigen Backups– Problem: mögliche Gefährdung einer Kopie bei der

Wiederherstellung (Verfügbarkeit)– Backup erst dann löschen, wenn ein aktuelleres Backup existiert– benötigte Anzahl von Backups abhängig von gewählter Backup-

Strategie– Gängige Vorgehensweise: Generationenprinzip

(Großvater-Vater-Sohn-Prinzip)

aktueller Datenbestand

Kopien

Zeitt t+1 t+2 t+3

t

t

t+1

t+1 t+2

t+2 t+3



• Aufbewahrung der Kopien– Verfügbarkeit

• Kopien nicht am selben Ort wie Original aufbewahren• Medien an verschiedenen Orten sichern • Schutz der Kopien vor Verlust und Zerstörung

– Vertraulichkeit, Integrität• Kopien stellen Angriffsziel dar• Sichere Aufbewahrung• Verschlüsselung

Datensicherheit - TU Dresden · Ausgewählte Schutzmaßnahmen – Personelle Maßnahmen –...

Documents

Transcript of Datensicherheit - TU Dresden · Ausgewählte Schutzmaßnahmen – Personelle Maßnahmen –...