1. Einführung Informationssicherheit PK

Question 1

Nenne die 3 Sicherheits Ziele

Answer 1

Vertraulichkeit
Integrität/Unverletzlichkeit
Verfügbarkeit

Question 2

Nenne die 3 Teile des Sicherheits Mechanismen

Answer 2

Prävention von Angriffen (Prevention)
Erkennung von Angriffen (Detection)
Schadensbegrenzung nach Angriffen (Recovery)

Question 3

Nenne die 4 Sicherheits Bedrohung (Threads)

Answer 3

Enthüllung
Täuschung
Störung
Übernahme

Question 4

Was ist mit Bedrohung (Thread) gemeint?

Answer 4

mögliche Verletzung eines Sicherheitsziels

Question 5

Was ist mit Sicherheit (Security) gemeint?

Answer 5

Schutz gegen vorsätzliche Bedrohungen

Question 6

Was ist mit Sicherheit (Safety) gemeint?

Answer 6

Schutz gegen zufällige schadhafte Ereignisse /Bedrohungen

Question 7

Was versteht man unter Vertraulichkeit (Confidentiality)?

Answer 7

Schutz von Informationen/Ressourcen vor unerlaubter Offenlegung/Weitergabe

Question 8

Was ist die Kernfrage der Vertraulichkeit?

Answer 8

Wer darf auf welche Daten/Ressourcen zugreifen?

Question 9

Nenne zwei Sicherheitsmaßnahmen der Vertraulichkeit

Answer 9

Verschlüsselung der Daten
Verstecken der Ressourcen

Question 10

Nenne zwei Bsp für die Verletzung der Vertraulichkeit

Answer 10

Angreifer belauscht dein Telefongespräch

Angreifer liest Emails auf deinem Computer

Question 11

Was versteht man unter Integrität/Unverletzlichkeit (Integrity)?

Answer 11

Schutz von Informationen/ Ressourcen vor unerlaubter Veränderung

Question 12

Was versteht man unter Verfügbarkeit (Availability)?

Answer 12

Schutz von Informationen/Ressourcen vor unerlaubter Unterbrechung/Störung

Question 13

Was ist die Kernfrage von Integrität/Unverletzlichkeit?

Answer 13

Wer darf was mit welchen Ressourcen tun?

Question 14

Was sind Sicherheitsmaßnahmen von Unverletzlichkeit?

Answer 14

Autorisierung
Prüfsummen
Digitale Fingerabdrücke

Question 15

Nenne zwei Bsp für die Verletzung der Unverletzlichkeit

Answer 15

Angreifer verändert die Quittung einer Banktransaktion

Angreifer manipuliert Dateien auf deinem Computer

Question 16

Was ist die Kernfrage von Verfügbarkeit?

Answer 16

Wann und wie werden Ressourcen verwendet?

Question 17

Nenne drei Sicherheitsmaßnahmen von der Verfügbarkeit

Answer 17

Beschränkung
Redundanz
Load Balancing

Question 18

Nenne zwei Bsp für die Verletzung von Verfügbarkeit

Answer 18

Angreifer bringt den Webserver einer Firma zum Absturz

Angreifer formatiert/verschlüsselt die Festplatte deines Computers

Question 19

Nenne die grundlegende Klassifizierung von Bedrohungen und kurze Erklärung

Answer 19

Enthüllung (Disclosure) - unberechtigter Zugang zu Informationen
Täuschung (Deception) - Entgegennahme falscher Daten (zB masquerading)
Störung (Disruption) - Unterbrechung oder Verhinderung der richtigen Funktion
Übernahme (Usurpation) - unberechtigte Kontrolle über Ressourcen

Question 20

Was bedeutet Angriff?

Answer 20

der Versuch ein Sicherheitsziel zu verletzten

Question 21

Was ist ein Angriff?

Answer 21

Kombination von Schwachstellen aus verschiedenen Bedrohungsklassen

Question 22

Nenne 3 Angriffsbeispiele

Answer 22

Bedrohung: Enthüllung
Angriffsklasse: Schnüffeln (snooping)
Bsp: Network sniffing, Keyboard logging

Bedrohung: Täuschung, Störung, Kontrollübernahme
Angriffsklasse: Manipulation
Bsp: Ändern/Umleiten des Kontrollflusses, Man-in-the-middle-Angriffe

Bedrohung: Täuschung, Übernahme
Angriffsklasse: Spoofing
Bsp: Adress spoofing (Vortäuschung einer falschen Adresse), Phishing Angriffe

Question 23

Was ist snooping?

Answer 23

Schnüffeln = passives Abhören von Informationen

Question 24

Was ist Manipulation?

Answer 24

aktives Verändern von Informationen

Question 25

Was ist Spoofing?

Answer 25

Nachahmung eines Akteurs durch einen anderen

Question 26

Was versteht man unter Policy/Regeln?

Answer 26

Aussage, was erlaubt ist und was nicht

Question 27

Was versteht man unter Mechanism?

Answer 27

Methode oder Werkzeug zur Durchsetzung einer Policy

Question 28

Was macht die Vorbeugung?

Answer 28

Verhindern eines Ziels BEVOR ein Sicherheitsziel verletzt wird

Question 29

Nenne Bsp für die Vorbeugung

Answer 29

Datensparksamkeit und -trennung (Entfernen oder Trennen von Informationen und Ressourcen)

Authentifizierung und Verschlüsselung (Zugriffsbeschränkung für Informationen und Ressourcen)

Question 30

Was sind die Grenzen/Probleme von Vorbeugung?

Answer 30

in vielen Fällen nicht anwendbar zB bei offenen Diensten
Machtlos gegen unvorhergesehende Angriffe

Question 31

Was sind die Grenzen/Probleme von Erkennung?

Answer 31

Ineffizient gegen unbekannte oder unsichtbare (low and slow) Angriffe

Question 32

Was sind die Grenzen/Probleme von Widerherstellung?

Answer 32

Der (möglicherweise) schwere Schaden ist bereits eingetreten
Angreifer haben evlt. ihre Spuren verwischt oder zerstört

Question 33

Was macht die Erkennung?

Answer 33

Erkennen von Angriffen WÄHREND ein Sicherheitszile verletzt wird

Question 34

Was macht die Wiederherstellung?

Answer 34

Wiederherstellung nach bzw. Aufarbeitung von Angriffen NACHDEM ein Sicherheitsziel verletzt wurde

Question 35

Nenne 2 Bsp für die Erkennung

Answer 35

Virenscanner (Erkennung von Schadcode auf Rechnern)

NID(Network intrusion detection)(Erkennung von Angriffen in/auf Computer Netzwerke)

Question 36

Nenne 2 Bsp von Wiederherstellung

Answer 36

Computer Forensik (Untersuchung und Analyse von Sicherheitsvorfällen)

Malware Analyse (Beobachtung und Analyse von Schadsoftware)

Question 37

Was bedeutet Authentizität?

Answer 37

Echtheit (truthfulness) von Informationen und Ressourcen

Side Info: Kann auch als ein Aspekt in Integrität betrachtet werden
Manchmal das andere A in CIA

Question 38

Was bedeutet Verantwortlichkeit (accountability)?

Answer 38

Verknüpfung von Aktionen mit Benutzern
Umsetzung von Nicht-Abstreitbarkeit (non-repudiation) in Computersystemen

Question 39

Was versteht man unter Privatsphäre (Privacy)?

Answer 39

Sicherheit und Kontrolle über personenbezogene Daten (personal Information)

Side Info: Eigenschaft von Individuen und nicht von Daten

Question 40

Wie funktioniert die Authentifizierung?

Answer 40

Verknüpfung einer Identität mit einem Individium (Subjekt)

Question 41

Wie lässt sich die Identität bestätigen?

Answer 41

(geheimes) Wissen (Something you know)
Besitz (Something you hold)
Indiviuelle (menschliche) Eigenschaften (Who you are)
Aufenthaltsort (Where you are)

Question 42

Nenne 3 Bsp für Identität

Answer 42

Anmeldung am Computer: Authentifizierung durch ein Geheimnis (Passwort)

Kreditkarte (online): Authentifizierung durch Besitz (Karte) und Wissen (PIN)

Kreditkarte (offline): Authentifizierung durch Besitz (Karte) und ein menschliches Charakteristikum (Unterschrift)

Question 43

Bsp für Geheimes Wissen

Answer 43

Passwort
PIN
persönliche Daten wie Privatanschrift, Geburtsdatum, Name des Partners

Question 44

Problem “Geheimes Wissen”

Answer 44

Jeder der dein Geheimnis kennt ist DU

Geheimnis weiterzugeben hinterlässt keine Spuren

Im Falle eines Computer Missbrauchs, bei dem sich jemand mit deinem Benutzername und Passwort anmeldet:

• Kannst du Unschuld beweisen?
• Kannst du beweisen, dass du dein Passwort NICHT ausgeplaudert hast?

Question 45

Was geschieht bei BESITZ?

Answer 45

Benutzer muss ein physisches Token (Erkennungsmerkmal) vorweisen, um authentifiziert zu werden

Question 46

Nenne 3 Bsp für Besitz

Answer 46

Schlüssel
Identitätskarten oder -anhänger
Smart Cards

Question 47

Problem Besitz

Answer 47

Physisches Token können verloren gehen oder gestohlen werden

Jeder der sie in seinen Besitz bringt, hat dieselben Rechte wie der legitime Besitzer

Question 48

Was kann getan werden um die Sicherheit eines physische Token zu verbessern?

Answer 48

Kombinierung mit Wissen

Bsp. Bankkarten mit einem PIN oder Foto ausgestattet

Question 49

Wie funktioniert die Individuelle Eigenschaft bei der Authentifizierung?

Answer 49

Biometrische Verfahren nutzen einzigartige physische Charakteristiken (traits, feautures) einer Person
wzB. Gesicht, Fingerabdrücke, Irismuster, Geometrie der Hand

Question 50

Was scheint die sicherste Authentifizierungslösung für Personen zu sein? Und warum?

Answer 50

Biometrie

Da schwer zu stehlen, fälschen, erraten, weitergeben, …

Question 51

Wie funktioniert die Aufzeichnung/Registrierung (Enrollment) beim Fingerabdruck?

Answer 51

Ein (oder mehrere) Vergleichs-Fingerabdrücke des Benutzers wird durch einen Fingerabdrucksensor aufgenommen

Question 52

Was ist ein Registrierfehler beim Fingerabdruck?

Answer 52

Nicht jede Person hat geeignete Fingerabdrücke. Zur Erhöhung der Genauigkeit , werden mehrere Vergleichs-Muster aufgezeichnet, ggf. auch von mehr als einem Finger

Question 53

Wo werden Vergleichsmuster gespeichert?

Answer 53

in einer sichereren Datenbank

Question 54

Wie funtioniert der Fingerabdruck vergleich?

Answer 54

Wenn sich Benutzer einloggt, liest der Fingerabdrucksensor ein neues Bild ein, das dann mit dem gespeicherten Muster verglichen wird

Question 55

Zu welchen zwei Zwecken werden Biometrische Daten benutzt?

Answer 55

Identifizierung:
1:n Vergleich - versucht den Benutzer in einer Datenbank von Personen zu finden

Überprüfen (Verifikation):
1:1 Vergleich - checkt, ob sich eine Übereinstimmung für einen gegebenen Benutzer ergibt

Question 56

Was ist das Problem bei der Identifizierung Biometrischer Daten?

Answer 56

Fuzziness

Authentifizierung durch ein Passwort:
Bei jedem Versuch ein klares Ja oder nein

ABER
Biometrie: gespeicherte Vergleichsmuster wird kaum jemals exakt dem Muster der neuen Messung entsprechen

Question 57

Wie funktioniert die Authentifizierung durch Biometrie?

Answer 57

misst Ähnlichkeit zwischen Vergleichsmuster und neuem Muster

Benutzer eingelassen wenn Wert über eine gegebene Schwelle liegt

Question 58

Was sind neu aufgetretene Probleme bei der Fehlerquoten Berechnung?

Answer 58

Falsche Benutzer einlassen (false positiv) ist ein Sicherheitsproblem
Einen legintimen Benutzer abzuweisen (false negative) führt zu peinlichen Situationen und zu ineffizienten Arbeitsumgebung

Question 59

Mit dem Schwellwert im Vergleich Algorithmus kann man dessen Verhalten steuern: Man kann eine niedrige “false acceptance rate” (FAR) erzielen, um den ….

(Beende Satz)

Answer 59

…, um den Preis einer höheren “false rejection rate” (FRR)

Question 60

Die “equal error rate” (ERR) entspricht demjenigen Schwellwert für den …

Answer 60

… für denn FAR und FRR gleich groß sind

Question 61

Was ist das Problem mit dem Apple Touch ID?

Answer 61

schützt vor Dieben und beim Verlieren des Mobiletelefons
Versagt aber bei gezielten Attacken

Question 62

Was wird beim Aufenthaltsort dem Benutzer gestattet?

Answer 62

Einige Betriebssysteme gewähren nur dann Zugang, wenn man sich von einem bestimmten Terminal aus anmeldet

zB kann sich Benutzer nur von einer Workstation in Büro anmelden

Question 63

Was kann verwendet werden um die exakte geografische Position eines Benutzers bei der Authentifizierung zu ermitteln?

Answer 63

GPS (Global Positioning System)

Question 64

Was macht die Autorisierung und die Zugangskontrollle?

Answer 64

Kontrolliert was ein Akteur / Subjekt tun darf

Steuerung von Genehmigung (permissions) und Fähigkeiten (capabilities)

Side Info:
oft eng an die Authentifikation gekoppelt

Question 65

Nenne 2 Bsp der Autorisierung

Answer 65

Ausführung von Programm, Lesen von Dateien

Question 66

Was sind Passwörter?

Answer 66

Authentifizierung über Wissen

Question 67

Wie funktioniert die Authentifizierung per Passwort?

Answer 67

Benutzer sendet Identity und Passwort an System. System sendet compared dann Passwort mit Datenbank

Question 68

Was für Probleme gibt es mit Passwörtern?

Answer 68

Passwort erschnüffeln

• mitlesen des passworts im netwerk verkehr
• lesen von Passwärtern von Speichermedien

Passwort (online) erraten oder (offline) knacken (cracking)

Menschliche Faktor

• schwache Passwörter
• Passwörter auf Post-it-Zetteln

Question 69

Was sind Grundlegende Schutzmaßnahmen für Passwörter?

Answer 69

Passwörter sollten nie im Klartext kommuniziert oder gespeichert werden (auch nicht als Post-its)

Passwörter sollten nicht leicht zu erraten sein

Technik sollte darauf abzielen den menschlichen Faktor auszugleichen

Question 70

Nenne zwei Bsp für kryptografische Hash Funktionen

Answer 70

MD5 (MD-Message Digest)
SHA-1/2/3 (SHA-Secure Hash Algorithm)
MACs (Message Authentication Code) - Hash Funktion mit Schlüssel (Keyed Hash Functions)

Question 71

Sei OWF() eine Einwegfunktion und MAC (k,M) ein MAC mit Schlüssel k für die Nachricht M

wie wird es dann im System gespeichert?

Wie wird Eingabepasswort überprüft?

Answer 71

Wird im System gespeichert:
OWF (Passwort) oder
MAC (Passwort, Konstante)

Überprüfung von Eingabepasswort:
OWF (Eingabepasswort) == OWF (Passwort)?
MAC (Eingabepasswort, Konstante) == MAC (Passwort, Konstante)?

Question 72

Was ist ein Wörterbuchangriff?

Answer 72

Ein Wörterbuchangriff ist eine Methode, um in einen passwortgeschützten Computer, ein Netzwerk oder eine andere IT-Ressource einzudringen, indem systematisch jedes Wort in einem Wörterbuch als Passwort eingegeben wird. Ein Wörterbuchangriff kann auch verwendet werden, um den Schlüssel zu finden, der zum Entschlüsseln einer verschlüsselten Nachricht oder eines verschlüsselten Dokuments erforderlich ist.

Question 73

Was ist die Gegenmaßnahme zu Wöterbuchangriff?

Answer 73

Salt

Question 74

Was ist Salt?

Answer 74

Durch eine Hinzugabe von Salt und Pepper lassen sich Daten schützen. Das Salt erschwert das Entschlüsselns durch Regenbogentabellen. Wenn ein Nutzer ein Passwort festlegt, erstellt das System zusätzlich dazu einen zufälligen Wert, das Salt. Dieser Wert fließt zusammen mit dem Passwort in die Hashfunktion und erzeugt einen anderen Wert. Das Salt und der Hashwert liegen gemeinsam in der Datenbank. Der zufällig vergebene Hashwert des Salts ist nicht in den Regenbogentabellen eingetragen und erschwert somit die Suche nach dem ursprünglichen Passwort erheblich.

Side Info:
Der Pepper erschwert wiederum den Angriff mit Brute Force oder Passwort-Wörterbüchern. Auch Pepper ist eine zufällige Zeichenfolge, die zusammen mit dem Passwort in den Hashwert einfließt. Anders als beim Salt, speichert die Datenbank den Pepper nicht zusammen mit den Login-Daten. Den Pepper bewahrt man getrennt und an einem möglichst sicheren Ort auf. Salt und Pepper haben somit viel mit dem Schützen Ihrer Daten zu tun – sie verhindern das Knacken von Passwörter zwar nicht, erschweren es jedoch erheblich.

Question 75

Wie gelangen Angreifer an Passwörter?

Answer 75

Überredung (social engineering)

Sichtkontakt (shoulder surfing)

Hardware-Tastatureingabeprotokollierung (keylogger)

Abhören im Netzwerk (sniffer)

Trojanische Pferde: login-Programm, Rootkit

Systematische Raten (online, offline) (cracking, grinding)

Question 76

Sidn Keylooger nur Hardware beschränkt?

Answer 76

Keylogger sind jedoch inzwischen nicht mehr
nur auf Hardware beschränkt.
Verschiedene Software-Keylogger, die mobile
Endgeräte angreifen, sind im Umlauf

Question 77

Was versteht man unter Brute Force?

Answer 77

Knacken eines Passworts durch das Berechnen und Ausprobieren tausender möglicher Varianten

Question 78

Wie erratet man Passwörter ONLINE?
mit Programm Bsp

Answer 78

Benutzt die Login-Methode des Zielsystems
• nicht vollständig verhinderbar.
• Angreifer kann verlangsamt werden (inkrementelles Back-off, Verbindung kappen).

Programme: THC Hydra, Brutus

Question 79

Wie erratet man Passwörter OFFLINE?
mit Programm Bsp

Answer 79

Simuliert das Authentisierungsverfahren des Zielsystems. Benötigt die Passwort-Hashes des Zielsystems.
• Durch Schutz der Authentisierungs-Daten zu verhindern.
• Angreifer verlangsamen durch Vergrößerung des Suchraums.

Programme: John (the Ripper), Cain and Abel

Question 80

Was könnten Wortveränderungen sein für das Erraten von Passwörtern

Answer 80

• Präfixe und Suffixe, 1- und 2-stellig: 1–9, !, ., ?, . . .
• Buchstabenersetzung durch Zahlen und Sonderzeichen: E⇤3, T⇤7, . . .
• Buchstabenersetzung durch angrenzende Zeichen auf Tastatur: W⇤E, S⇤D, . . .
• Permutationen der Groß-/Kleinschreibung
• Plural bilden
• Spiegeln
• Verdoppeln
• Sonderzeichen einfügen

Question 81

Zwei schlechte Bsp für Passwort Diebstahl

Answer 81

Very bad example: Rockyou.com
• 32 Millionen Passwörter wurden gestohlen, als die Website im Dezember 2009 gehackt wurde.
• Die von Rockyou.com gespeicherten Passwörter lagen im Klartext in der Datenbank.

Still bad example: ebay.com
• Daten von 145 Millionen Kunden wurden kopiert, als die Website gehackt wurde.
• Hier waren die Passwörter gehasht und salted

Question 82

2009 hat Twitter von einem Sicherheitsvorfall 370 Passwörter ausgeschlossen. Reicht das?

Answer 82

Nein, nur ein weitere Sicherheitsbaustein, kein umfassender Schutz

Question 83

Was kann man Proaktiv tun, damit Passwörter sicherer sind?

Answer 83

• Nutzern Regeln und Tipps vermitteln
• Einfache Regeln technisch durchsetzen: Länge, Ziffern, Sonderzeichen, . . .
• ggf. Passwörter beim Festlegen auf Stärke prüfen
• Passwortalterung (Vorsicht! häufig unerwünschte Resultate)
• Inkrementelles Back-off bei falschem Passwort
• Konto blockieren nach x falschen Passwörtern (Vorsicht!)
• Andere Authentisierungstechnologien verwenden
• Single-Sign-On

Question 84

Was kann man Reaktiv tun, damit Passwörter sicherer sind?

Answer 84

• Regelmäßig Passwörter der Nutzer auf Stärke prüfen / brechen

Question 85

Was ist Phising?

Answer 85

Passwortdiebstahl über vorgetäuschte Login-Seiten oder Formulare

Passwortdiebstahl über vorgetäuschte Login-Seiten oder Formulare

Question 86

Wie verläuft ein Pishing Angriff?

Answer 86

• Das Opfer wird unter Vorspiegelung falscher Tatsachen auf eine Webseite des Angreifers gelockt.
• Diese Seite gibt vor, die Login-Seite der Seite zu sein, für die der Angreifer das Passwort erfahren
möchte.
• Die Täuschung wird durch das Imitieren des Layouts der Originalseite unterstützt.
• Wenn das Opfer die Daten eingibt, erhält der Angreifer diese;
das Opfer wird meist auf die Original-login-Seite weitergeleitet

Question 87

Welche Angriffsmethoden umfasst Phising?

Answer 87

• Lockmittel sind in vielen Fällen Emails oder andere Nachrichten
• Das beste Mittel zur Angriffserkennung ist der Vergleich des Domain-Wertes in der URL

Question 88

Was sind übliche Methoden zur URL Verschleierung?

Answer 88

• Verwendung von Unicode Zeichen in internationalen Domain-Namen
• Ausnutzen von offenen Redirects in der angegriffenen Site
• Vortäuschen eines eigenen URL-Balkens

Question 89

Was sind Gegenmaßnahmen für Phising?

Answer 89

• Browser-Plugins / Built-in Browser Warnungen
• Zwei-Faktor-Authentifizierung
• RSA SecureID
• Google Two-Factor
• One-time tokens über SMS
• Gesundes Misstrauen