IT Sicherheit:Einleitung & Grundbegriffe
Dr. Christian Rathgeb
Hochschule Darmstadt, CASED, da/sec Security Group
14.10.2015
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 1/54
Personalia / Formalia
Leitung und Unterlagen
I VO-Leiter (Gruppe C): Rathgeb
I PR-Leiter: Balyschew / Gohring / Scherhag / Wagner
I Email-Adressen:[email protected]
I URL der Lehrveranstaltung:https://www.dasec.h-da.de/teaching/
it-sicherheit-dr-rathgeb-ws20152016/
(Folien und Praktikumsblatter)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 2/54
Personalia / Formalia
Meine Person
I Buro: CASED (S4/14), Raum 4.3.04
I Telefon: +49 6151 16 70478
I Sprechstunde: nach Vereinbarung per Mail
I Personliche URL:https:
//www.dasec.h-da.de/staff/christian-rathgeb/
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 3/54
Personalia / Formalia
Termine und Ablauf
I Termine Vorlesung und Praktikum: 18 + 5, siehe OBS(5 Aufgabenblatter)
I Praktikum:
I Anwesenheitspflicht
I Bearbeitung der Aufgaben in 2er-Gruppen
I Bearbeitung der Aufgaben vor dem Praktikum
I Prufungsvorleistung: Testate aller Praktikumsaufgaben
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 4/54
Personalia / Formalia
Umgang mit Linux Betriebssystem
I Praktikumsaufgaben erfordern den Umgang mit LinuxBetriebssystem
I Empfehlung: Kali Linux VM-Image
I Kali Linux: Link auf Website und USB-Sticks
I Linux Tutorium (Skript) und Termine auf Website derLehrveranstaltung
I Erster Termin: heute, 16:00-17:30, D14/303
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 5/54
Personalia / Formalia
Inhalt der Vorlesung
I Kapitel-Ubersicht:
1. Einleitung & Grundbegriffe
2. Kryptologie
3. Netzwerksicherheit
4. Authentisierung
5. Biometrie
6. IT-Forensik
7. Bewertungskriterien
8. IT-Sicherheitmanagement
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 6/54
Einleitung
Aktuelle Angriffe
Beinahe taglich werden sicherheitskritische Schwachstelle von undAngriffe auf informationsverarbeitende Systeme veroffentlicht(vgl. www.heise.de/security)
I Aktuell: Sicherheitslucke in TeamSpeak-Desktop-Clienterlaubt es Angreifern, Dateien auf Client-PCs hochzuladen.
I Mai 2015: Interne Daten des Bundestags werden durchTrojaner abgezweigt.
I Anfang 2015: Mutmaßliche Anonymous-Anhanger drohen mitAttacken gegen die Islamkritiker Pegida.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 7/54
Einleitung
Motivation fur Angriffe
Klassische Angreifer:
I White-Hacker : Aufdecken von Sicherheitslucken
I Geheimdienste: Spionage, Sabotage und Uberwachung
I Unternehmen: Wirtschaftsspionage (Zusammenarbeit mitGeheimdiensten)
Neuere Entwicklungen:
I Cracker : Etablierung einer stark professionalisiertenSchattenwirtschaft
I Whistleblower : Veroffentlichung geheimer Informationen
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 8/54
Einleitung
Schattenwirtschaft
Mit erfolgreichen Angriffen lasst sich viel Geld verdienen, z.B.:
I Abgreifen von Kreditkarteninformationen (Warenkreditbetrug)
I Phishing-Angriffe im Bereich Online-Banking
Daruber hinaus gibt es einen etablierten Schwarzmarkt furVerwundbarkeiten von IT-Systemen (Exploits).
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 9/54
Einleitung
Angriffsarten
Wir erleben unterschiedliche Arten von Angriffen:
I Ungezielte Angriffe, z.B. uber Massenmails, mit denen Viren,Wurmer und Trojaner versandt oder Phishing-Angriffedurchgefuhrt werden.
I Gezielte Angriffe, z.B. zur Sabotage und Spionage, die aufbestimmte Institutionen gerichtet sind (DDoS-Angriffe aufstaatliche Infrastrukturen).
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 10/54
Einleitung
Schwachstellen in Software
Einer der Grunde fur erfolgreiche Angriffe ist die Fehleranfalligkeitvon Software:
I Heutige Betriebssysteme haben ca. 90.000.000 ZeilenSource-Code
I Untersuchungen zeigen: Fehlerquote liegt bei ca. 0.25%
I Also ca. 200.000 potentiell ausnutzbare Fehler
I Hinzu kommt die Anwendungssoftware
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 11/54
Grundbegriffe
Grundlegende Begriffe
Definition und Prazisierung der Begriffe
I Information und Daten
I IT-System und IT-Verbund
I Sicherheit (Betriebs- und Informationssicherheit)
I Bedrohung, Gefahrdung, Angriff, Risiko
I Schutzziele (z.B. Vertraulichkeit, Integritat, Verfugbarkeit)
I Datenschutz
I Privacy by Design
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 12/54
Grundbegriffe
Motivation
Informationen sind schutzenswerte Guter, z.B. hinsichtlich
I Verlust des informationellen Selbstbestimmungsrechts(Datenschutz): Informationen uber Krankheiten, Einkommen
I finanzieller Verluste: Geschaftsgeheimnissen, Vertragen,Zugangsdaten zum Online-Banking
I personlicher Unversehrtheit: Fehlfunktionen medizinischerUberwachungsgerate, Verkehrsleitsysteme
Informationelles Selbstbestimmungsrecht
Das Recht auf informationelle Selbstbestimmung ist das Recht desEinzelnen, grundsatzlich selbst uber die Preisgabe und Verwendungseiner personenbezogenen Daten zu bestimmen.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 13/54
Grundbegriffe
Information
Definition des Begriffs Information nach deutschem Duden:
1 das Informieren; Unterrichtung uber eine bestimmte Sache;Kurzwort: Info
2a [auf Anfrage erteilte] uber alles Wissenswerte in Kenntnissetzende, offizielle, detaillierte Mitteilung uber jemanden,etwas
2b Außerung oder Hinweis, mit dem jemand von einer [wichtigen,politischen] Sache in Kenntnis gesetzt wird
Eine Information hat fur den Empfanger einen Neuigkeitsgehalt.
Ihre Form kann unterschiedlich sein: gesprochen, geschrieben,gedacht, elektronisch.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 14/54
Grundbegriffe
IT- und Informationssicherheit
I Informationssicherheit: Sicherheit bzgl. Informationen,unabhangig von ihrer Reprasentation
I IT- Sicherheit: Sicherheit bzgl. Schutz der elektronischenInformationen
I IT-Sicherheit bildet somit ein Teilgebiet derInformationssicherheit!
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 15/54
Grundbegriffe
Daten
Daten sind Reprasentationen von Informationen, z.B.
I als Bytefolge gespeichert auf einer Festplatte
I als Netzwerkpaket bei der Ubertragung uber das Internet
Interpretation der Daten ergibt die Information:
I Beispiel: Daten in Bytefolge ASCII (hex): 44 31 34
I Information (interpretiert): D14
I ASCII (hex): 44 → Buchstabe (D)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 16/54
Grundbegriffe
IT-System
Ein IT-System ist ein dynamisches technisches System mit derFahigkeit zur Speicherung und Verarbeitung von Daten.
Beispiele:
I Computer, Tablets, Smartphones
I Router, Switches, Netze
I Drucker, Scanner
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 17/54
Grundbegriffe
IT-Verbund
Ein Informationsverbund (oder IT-Verbund) ist die Gesamtheit voninfrastrukturellen, organisatorischen, personellen und technischenObjekten, die der Aufgabenerfullung in einem bestimmtenAnwendungsbereich der Informationsverarbeitung dienen.
Ein IT-Verbund kann verschiedene Auspagungen haben.
Beispiele:
I eine gesamte Institution (z.B. Firma, Behorde)
I einzelne Bereiche einer Institution, die in organisatorischeStrukturen (z.B. Abteilungen) gegliedert sind
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 18/54
Grundbegriffe
Sicherheit
Sicherheit ist der Schutz vor negativen Konsequenzen ausvorsatzlichen und berechtigten Handlungen.
Bzgl. IT-Systeme unterschiedet man zwei Arten von Sicherheit:
I Schutz vor negativen Konsequenzen aus berechtigtenHandlungen: Betriebssicherheit/Funktionssicherheit(engl. Safety)
I Ist-Funktionalitat stimmt mit der spezifiziertenSoll-Funktionalitat uberein (alles lauft wie geplant)
I Schutz vor negativen Konsequenzen aus vorsatzlichenHandlungen: Informationssicherheit (engl. Security)
I Resistenz gegenuber Angriffen (keine unautorisierteInformationsveranderung oder -gewinnung moglich)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 19/54
Grundbegriffe
Pravention
Kernbestandteil von Betrachtungen uber Sicherheit ist in ersterLinie Pravention.
Beispiele:
I Physikalische Sicherheitsmerkmale auf Geldscheinen(Ziel Falschungssicherheit), wie z.B. Wasserzeichen, Infrarot-und UV-Farben
I Verschlusselung von Dokumenten, E-Mails
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 20/54
Grundbegriffe
Schutzziele
Klassische Schutzziele:
I Vertraulichkeit (engl. Confidentiality)
I Integritat (engl. Integrity)
I Authentizitat (engl. Authenticity)
I Nichtabstreitbarkeit (engl. Non-Repudiation)
I Verfugbarkeit (engl. Availability)
Schutzziele bzgl. Datenschutz:
I Anonymitat
I Pseudonymitat
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 21/54
Grundbegriffe
Beispiel I
I Alice sendet die Nachricht”Hallo Bob, heute um 10 Uhr bei
mir? Alice“ an den Empfanger Bob.
I Wir betrachten nun folgende Szenarien:
1. Lauscherin Eve hort diese Nachricht ab.
2. Angreiferin Eve andert die Nachricht auf”Hallo Bob, heute
um 12 Uhr bei mir? Alice“ und sendet diese an Bob.
3. Angreiferin Eve andert die Nachricht auf”Hallo Bob, heute
um 10 Uhr bei mir? Anne“ und sendet diese an Bob.(Signatur wird verandert)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 22/54
Grundbegriffe
Beispiel II
4. Eve sendet”Ich bin Alice“ an Bob. (Vortauschung anderer
Identitat)
5. Alice behauptet im Nachhinein, dass 9 Uhr die vereinbarteZeit war.
6. Eve sendet nichts an Bob. (Nachrichtentransport wirdabgebrochen – Denial of Service)
I Aus den gegebenen Szenarien lassen sich verschiedeneSchutzziele ableiten!
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 23/54
Grundbegriffe
Schutzziel Vertraulichkeit
Vertraulichkeit soll sicherstellen, dass Informationen nurautorisierten Personen zuganglich sind.
Maßnahmen zur Umsetzung des Schutzziels Vertraulichkeit:
I Kryptographische Verschlusselungsverfahren
I Uberbringen von Dokumenten durch vertrauenswurdigenKurier
I Zutrittsregeln (Gebaudesicherung, Raumsicherung)
I Zugriffskontrollen (geeignete Leserechte fur gespeicherteDateien/Verzeichnisse)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 24/54
Grundbegriffe
Schutzziel Integritat
Unter Integritat versteht man die Vollstandigkeit undUnverfalschtheit der Daten fur den Zeitraum, in dem sie von einerautorisierten Person erstellt, ubertragen oder gespeichert wurden.Darin sind sowohl absichtliche als auch unabsichtliche, z. B. durchtechnische Fehler verursachte, Veranderungen enthalten.
Maßnahmen zur Umsetzung des Schutzziels Integritat:
I Kryptographische Hashfunktionen, etc.
I Sichere Aufbewahrung von Kopien zum spateren Abgleich mitdem Original
I Zugriffs- und Zutrittsregeln
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 25/54
Grundbegriffe
Schutzziel Datenauthentizitat
Die Authentizitat von Daten ist gewahrleistet, wenn der Urheberder Daten vom Empfanger eindeutig identifizierbar und seineUrheberschaft nachprufbar ist. Dies beinhaltet auch die Integritatder Daten.
Maßnahmen zur Umsetzung des Schutzziels Datenauthentizitat:
I elektronische Signaturen
I handisches Unterschreiben eines Dokumentes
I personliche Ubergabe von Daten
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 26/54
Grundbegriffe
Schutzziel Instanzauthentizitat
Ein Objekt oder Subjekt wird als authentisch bezeichnet, wenndessen Echtheit und Glaubwurdigkeit anhand einer eindeutigenIdentitat und charakteristischer Eigenschaften uberprufbar ist.
Maßnahmen zur Umsetzung des Schutzziels Instanzauthentizitat:
I Benutzername/Passwort
I Challenge-Response-Protokolle
I Ableich der Identitat auf Basis hoheitlicher Dokumente(Reisepass, Personalausweis)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 27/54
Grundbegriffe
Schutzziel Nichtabstreitbarkeit
Die Nichtabstreitbarkeit von Daten ist gewahrleistet, wenn derErsteller der Daten die Erzeugung im Nachhinein nicht abstreitenkann (gerade auch gegenuber Dritten).
Maßnahmen zur Umsetzung des Schutzziels Nichtabstreitbarkeit:
I elektronische Signaturen
I handische Unterschrift
I Nutzung vertrauenswurdiger Zeugen (z.B. Notar)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 28/54
Grundbegriffe
Schutzziel Integritat, Authentizitat, Nichtabstreitbarkeit
Abgrenzung der Begriffe Integritat, Authentizitat undNichtabstreitbarkeit:
I Offensichtlich gilt:
I Aus der Nichtabstreitbarkeit folgt die Authentizitat
I Aus der Authentizitat folgt die Integritat
I Die Umkehrung gilt im Allgemeinen nicht:
I Sicheres Aufbewahren einer Kopie zum spateren Abgleich sorgtfur die Integritat, es kann damit aber nicht festgestellt werden,wer die Daten erzeugt hat; Integritat ; Authentizitat
I Bei einer personlichen Ubergabe weiß der Empfanger, von wemer die Daten hat, kann dies aber gegenuber einem Drittennicht nachweisen; Authentizitat ; Nichtabstreitbarkeit
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 29/54
Grundbegriffe
Schutzziel Verfugbarkeit
Ein IT-System gewahrt Verfugbarkeit, wenn autorisierte Subjektein der Wahrnehmung ihrer Berechtigungen nicht unautorisiertbeeintrachtigt werden konnen.
Die Messung der Verfugbarkeit erfolgt nach folgender Formel:
Verfugbarkeit =Gesamtlaufzeit− Ausfallzeit
Gesamtlaufzeit
Maßnahmen zur Umsetzung des Schutzziels Verfugbarkeit:
I Datensicherung
I Vertretungsregeln
I Unterbrechungsfreie Stromversorgung
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 30/54
Grundbegriffe
Schutzziele Anonymitat und Pseudonymitat
I Anonymitat: Personenbezogene Daten werden so verandert,dass diese nicht oder nur mit unverhaltnismaßigem Aufwandeiner Person zugeordnet werden konnen.
I Pseudonymitat: Personenbezogene Daten werden soverandert, dass diese nur unter Kenntnis derZuordnungsvorschrift einer Person zugeordnet werden konnen.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 31/54
Grundbegriffe
Anonymitat, Pseudonymitat
Abgrenzung der Begriffe Anonymitat, Pseudonymitat
I Beispiel fur Anonymitat
I Geheime Abstimmung bei Wahlen: Zuordnung zwischenWahlzettel und Wahler ist nicht moglich
I Beispiel fur Pseudonymitat
I E-Mail Adresse: Kommunikationspartner kennen nicht die realeIdentitat (aber der Dienstanbieter)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 32/54
Grundbegriffe
Authentisierung, Authentifizierung
Abgrenzung der Begriffe Authentisierung, Authentifizierung(beide engl. authentification):
I Authentisierung: Nachweis der Identitat
I Ich weise mich durch Eingabe meinesBenutzernamens/Passwortes aus
I Ich weise mich mit meinem Personalausweis aus
I Authentifizierung: Prufung des Nachweises
I Benutzername/Passwort wird gepruft
I Personalausweis und Verknupfung mit meiner Person werdengepruft
Nach der Authentifizierung ist das Subjekt autorisiert entsprechendseiner Berechtigungen zu arbeiten.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 33/54
Grundbegriffe
IT-Sicherheit
Ziel der IT-Sicherheit ist die Verfugbarkeit der Daten, Dienste undAnwendungen zu gewahrleisten, sowie die Integritat undVertraulichkeiten der Daten sicher zu stellen.
Hierzu benotigen wir ein Verstandnis fur die Begriffe,
I Gefahr, Bedrohung, Gefahrdung
I Schwachstelle
I Angriff
I Schadensszenario
I Risiko
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 34/54
Grundbegriffe
Gefahr
Eine Gefahr ist ein Sachverhalt, bei dem ohne konkreten zeitlichen,raumlichen oder personellen Bezug bei ungehindertem Ablauf deszu erwartenden Geschehens in absehbarer Zeit mit hinreichenderWahrscheinlichkeit ein Schaden fur ein schutzwurdiges Guteintreten wird.
Beispiele hierfur sind (ohne besonderen Bezug zur IT-Sicherheit):
I Beispiel: Hochwasser(Gefahr fur Leib und Leben, finanzieller Verlust)
I Beispiel: Pest (Gefahr fur Leib und Leben)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 35/54
Grundbegriffe
Bedrohung
Eine Bedrohung ist eine Gefahr mit zeitlichem, raumlichem oderpersonellem Bezug zu einem Schutzziel.
Kurz: Bedrohungen sind potentielle Gefahren
I Beispiel: Hochwasser ist eine Bedrohung fur Leib und Lebenvon Menschen an der Nordsee(aber nicht in Darmstadt)
I Pest ist eine Gefahr fur Leib und Leben, aber keine Bedrohung(der Pesterreger ist ausgestorben)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 36/54
Grundbegriffe
Gefahrdung
Eine Gefahrdung bezieht sich ganz konkret auf eine bestimmteSituation oder auf ein bestimmtes Objekt und beschreibt dieWahrscheinlichkeit, mit der eine potenzielle Gefahr (d.h.Bedrohung) zeitlich oder raumlich auftritt.
Anders ausgedruckt: Trifft eine Bedrohung auf eine Schwachstelle(z.B. technische oder organisatorische Mangel), so entsteht eineGefahrdung.
I Beispiel: bei zu niedrigen Deichen ist Hochwasser eineGefahrdung fur Leib und Leben von Menschen an der Nordsee
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 37/54
Grundbegriffe
Gefahrdungskategorien
Gefahrdungen finden sich ublicherweise in folgenden Kategorien:
I Hohere Gewalt (z.B. Hochwasser, Blitzeinschlag, globalerStromausfall)
I Technische Fehler (z.B. defekte Datentrager, Ausfall einerDatenbank)
I Fahrlassigkeit (z.B. Nichtbeachtung von Sicherheits-maßnahmen, ungeeigneter Umgang mit Passwortern)
I Organisatorische Mangel (z.B. fehlende oder unzureichendeRegelungen, nicht erkannte Sicherheitsvorfalle)
I Vorsatzliche Handlungen (z.B. Abhoren und Manipulation vonLeitungen, Schadprogramme, Diebstahl)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 38/54
Grundbegriffe
Angriff
Ein Angriff bezeichnet einen unautorisierten Zugriff bzw.Zugriffsversuch auf ein IT-System oder eine Information.
Technische Angriffe lassen sich in zwei Kategorien unterteilen:
I Passive Angriffe: Zielen auf Informationsgewinnung(Schutzziel Vertraulichkeit)z.B. durch Abhoren von Datenleitungen
I Aktive Angriffe: Zielen auf Informationsveranderung(Schutzziel Integritat und Verfugbarkeit)z.B. Vortauschen einer falschen Identitat, um Zugriff auf einSystem zu erhalten
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 39/54
Grundbegriffe
Schadensszenario
Das Brechen der definierten Schutzziele (erfolgreicher Angriff aufein IT-Systeme durch Ausnutzen einer Schwachstelle) kannunterschiedliche Schaden verursachen.
Ublich ist die Einteilung in folgende Schadensszenarien:
I Beeintrachtigung des informationellenSelbstbestimmungsrechts
I Beeintrachtigung der personlichen Unversehrtheit
I Beeintrachtigung der Aufgabenerfullung
I Negative Innen- oder Außenwirkung
I Finanzielle Auswirkungen
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 40/54
Grundbegriffe
Risiko I
Ein Risiko ist das Produkt aus Eintrittswahrscheinlichkeit einesEreignisses und dessen Konsequenz, bezogen auf die Abweichungdes gesteckten Zieles.
In Bezug auf IT-Sicherheit, das Produkt aus
I Wahrscheinlichkeit dafur, dass ein Schutzziel gebrochen wird,und
I Hohe des Schadens, der sich daraus ergibt
Die Bestimmung der Risiken hilft bei der Priorisierungumzusetzender Maßnahmen
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 41/54
Grundbegriffe
Risiko II
Risiko = Eintrittswahrscheinlichkeit · Schadenshohe
Eintrittswahrscheinlichkeit und Schadenshohe lassen sich nurschwer quantifizieren.
I Eintrittswahrscheinlichkeit: Welche Mittel ein Angreifereinsetzt
I hangt von seiner Motivation ab
I ist nicht nur abhangig von finanziellen Gewinnaussichten,sondern teilweise auch vom personlichen Ergeiz(z.B. Whistleblower)
I Schadenshohe: Abschatzung, welche Folgen ein Angriff hat
I hangt von der konkreten Institution ab
I meist sind mehrere Schadensszenarien betroffenDr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 42/54
Grundbegriffe
Risiko III
Risiko = Eintrittswahrscheinlichkeit · Schadenshohe
Folgende Vereinfachung(nicht quantitative, sondern qualitative Bewertung):
I Klassifiziere Eintrittswahrscheinlichkeit inniedrig (1), mittel (2), hoch (3)
I Klassifiziere Schadenshohe inniedrig (1), mittel (2), hoch (3)
I Werte fur das Risiko: 1 (unbedeutend) bis 9 (kritisch)
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 43/54
Grundbegriffe
Rechtliche Rahmen
IT-Sicherheit sollte nicht nur im Eigeninteresse einer Institutionumgesetzt werden.
Vielfach fordern Gesetze die Umsetzung geeigneterIT-Sicherheitsmaßnahmen, z.B.:
I Bundesdatenschutzgesetz und Datenschutzgesetze derBundeslander
I Gesetz zur Kontrolle und Transparenz imUnternehmensbereich
I Teledienstedatenschutzgesetz
I Telekommunikationsgesetz
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 44/54
Grundbegriffe
Datenschutz
Mit Datenschutz wird der Schutz personenbezogener Daten vorMissbrauch durch Dritte bezeichnet.
I Die Privatsphare jedes Einzelnen soll geschutzt werden.
I Rechtlicher Ausgangspunkt ist das Grundrecht aufinformationelle Selbstbestimmung.
I Grundidee ist, dass der Einzelne die Moglichkeit haben soll,selbst zu bestimmen, wer bei welcher Gelegenheit welcheInformationen uber ihn erhalt.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 45/54
Grundbegriffe
Bundesdatenschutzgesetz I
Grundpfeiler des Bundesdatenschutzgesetzes (BDSG) sind diePrinzipien
I Datenvermeidung und Datensparsamkeit: bei derDatenverarbeitung durfen nur so viele personenbezogeneDaten gesammelt werden, wie fur die jeweilige Anwendungunbedingt notwendig sind (§ 3a BDSG).
I das allgemeine Verbot der Verarbeitung personenbezogenerDaten: grundsatzlich durfen personenbezogene Daten nur mitEinwilligung der Betroffenen oder aufgrund gesetzlicherGestattung verarbeitet werden (§ 4 Abs. 1 BDSG).
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 46/54
Grundbegriffe
Bundesdatenschutzgesetz II
Das Bundesdatenschutzgesetz (§ 9) verpflichtet Datenverarbeitende Stellen, geeignete technische und organisatorischeMaßnahmen zum Schutz der erhobenen Daten zu treffen(Datensicherheit).
Personenbezogene Daten durfen
I nur Befugten zuganglich sein, da sie vertraulich sind, und
I durfen nicht unbemerkt verandert oder geloscht werden.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 47/54
Grundbegriffe
Weitere Gesetze I
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich:
I Verpflichtet u.a. Aktiengesellschaften zur Schaffung einesunternehmensinternen Risikofruherkennungssystems
I § 91 Abs. 2: Der Vorstand muss geeignete Maßnahmentreffen, um den Fortbestand der Gesellschaft gefahrdendeEntwicklungen fruh zu erkennen
I Gefahrdungen konnen auch durch fehlende IT-Sicherheitentstehen
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 48/54
Grundbegriffe
Weitere Gesetze II
Teledienstedatenschutzgesetz:
I § 4 Abs. 4 Nr. 3 besagt: Der Diensteanbieter hat durchtechnische und organisatorische Vorkehrungen sicherzustellen,dass der Nutzer Teledienste gegen Kenntnisnahme Drittergeschutzt in Anspruch nehmen kann.
I Anwendungsbereich:
I Internet- und E-Mailprovider wie Deutsche Telekom, usw.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 49/54
Grundbegriffe
Privacy by Design
Entwickelt in den 90er Jahren von Ann Cavoukian (Information &Privacy Commissioner der Kanadischen Provinz Ontario)
Grundidee:
I Rechtsvorschriften allein sind nicht ausreichend fur dieGewahrleistung von Datenschutz
Hierfur wurden sieben Grundprinzipien aufgestellt.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 50/54
Grundbegriffe
Privacy by Design: Sieben Grundprinzipien I
1. Proaktiv, nicht reaktiv; als Vorbeugung und nicht als AbhilfeDer Privacy by Design Ansatz sieht mogliche Verletzungen derPrivatssphare voraus und verhindert sie, bevor sie entstehenkonnten.
2. Datenschutz als StandardeinstellungEin IT-System bietet systemimmanent als Standardeinstellungden Schutz der Privatsphare und personenbezogener Daten.
3. Der Datenschutz ist in das Design eingebettetZur Entwurfsphase eines IT-Systems, einer Software odereines Geschaftsprozesses wird der Datenschutz bereitsberucksichtigt.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 51/54
Grundbegriffe
Privacy by Design: Sieben Grundprinzipien II
4. Volle FunktionalitatDatenschutz und Sicherheit konnen in einem Systemgleichzeitig realisiert werden und nicht nur das eine auf dieKosten des anderen. Die Umsetzung von Sicherheit undDatenschutz bringt alle Vorteile fur alle Beteiligten.
5. Durchgangige Sicherheit - Schutz wahrend des gesamtenLebenszyklusPersonenbezogene Daten sind von der Erfassung bis zurVernichtung im gesamten Lebens- und Verarbeitungszyklusinnerhalb einer Software bzw. eines IT-Systems mittels starkerSicherheitsmaßnahmen geschutzt.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 52/54
Grundbegriffe
Privacy by Design: Sieben Grundprinzipien III
6. Sichtbarkeit und Transparenz - Fur Offenheit sorgenKomponenten und Verfahren eines IT-Systems konnenunabhangigen Prufungen unterzogen werden. Sie sindeinsehbar und fur alle Beteiligten (Nutzer und Anbieter)transparent.
7. Die Wahrung der Privatsphare der Nutzer - nutzerzentrierteGestaltungBetreiber und Architekten von IT-Systemen stellen den Nutzerund seine Interessen bzgl. personenbezogener Daten undPrivatsphare in den Mittelpunkt. Voreinstellungen sinddatenschutz- und benutzerfreundlich. Daruber hinaus bietenIT-Systeme angemessene Benachrichtigungen bzgl.personenbezogener Daten an.
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 53/54
Grundbegriffe
Privacy by Design: Wettbewerbsvorteil
Werden solche Produkte von den NutzerInnen honoriert?
I Fur Datenschutz und IT-Sicherheit interessiert sich nur eineMinderheit
I Seit Bekanntwerden der massiven Uberwachungsprogrammeder US-amerikanischen und britischen Geheimdienste andertsich das
I US-amerikanische Firmen sehen einen klarenWettbewerbsnachteil durch die Verpflichtung, mit denGeheimdiensten zusammenzuarbeiten
Dr. Christian Rathgeb IT-Sicherheit, Kapitel 1 / 14.10.2015 54/54
Top Related