Informationssicherheit Flashcards
Überblick
- Security goals: Confidentiality, Integrity, Availability
- Security mechanisms: Prevention, Detection, Recovery
- Security Threats: Disclosure, Deception, Disruption, Ursupation
Sicherheitsziele
(CIA)
- Vertraulichkeit (Confidentiality) von Informationen und Ressourcen
- Integrität (Integrity) von Informationen und Ressourcen
- Verfügbarkeit (Availability) von Informationen und Ressourcen
Grundlegende Definitionen
- Bedrohung (Threat) = mögliche Verletzung eines Sicherheitsziels
- Sicherheit (Security) = Schutz gegen vorsätzliche Bedrohungen
- Sicherheit (Safety) = Schutz gegen zufällige schadhafte Ereignisse / Bedrohungen
Grundlegende Definitionen
- Bedrohung (Threat) = mögliche Verletzung eines Sicherheitsziels
- Sicherheit (Security) = Schutz gegen vorsätzliche Bedrohungen
- Sicherheit (Safety) = Schutz gegen zufällige schadhafte Ereignisse / Bedrohungen
Vertraulichkeit(Confidentiality)
- Kernfrage: Wer darf auf welche Daten/Ressourcen zugreifen?
- Sicherheitsmaßnahmen:
Verschlüsselung der Daten, Verstecken der Ressourcen - beispielhafte Verletzungen:
Abhören des Telefongesprächs, Mitschneiden von E-Mails
Integrität / Unverletzlichkeit (Integrity)
- Kernfrage: Wer darf was mit welchen Ressourcen tun?
- Sicherheitsmaßnahmen:
Autorisierung, Prüfsummen, Digitale Fingerabdrücke (fingerprints) - Beispielverletzungen:
Manipulation einer Banktransaktionsquittung, Manipulation der Dateien auf einem Computer
Verfügbarkeit (Availability)
- Kernfrage: Wann und wo werden Ressourcen verwendet?
- Sicherheitsmaßnahmen:
Beschränkung, Redundanz, Load-Balancing - Beispielverletzungen:
Überlasten eines Webservers, Formatieren/Verschlüsseln einer Festplatte
Bedrohungen und Angriffe
- Enthüllung (Disclosure) = unberechtigter Zugang zu Informationen
- Täuschung (Deception) = Entgegennahme falscher Daten (z. B. masquerading)
- Störung (Disruption) = Unterbrechung oder Verhinderung der richtigen Funktion
- Übernahme (Usurpation) = unberechtigte Kontrolle über Ressourcen
- Angriff (attack) = der Versuch ein Sicherheitsziel zu verletzen
oft Kombination von Schwachstellen aus verschiedenen Bedrohungsklassen
Angriffsbeispiele
- snooping; disclosure; Network sniffing, Keyboard logging
- Manipulation; Deception, Disruption, Usurpation; Ändern/Umleiten des Kontrollflusses, Man-in-the-middle-Angriffe
- Spoofing; Deception, Usurpation; Address spoofing, Phishing-Angriffe
Sicherheitsregeln und -mechanismen
- Policy/Regel = Aussage, was erlaubt ist und was nicht
* Mechanism = Methode oder Werkzeug zur Durchsetzung einer Policy
Detection
- während des Angriffs
- Beispiele: Virenscanner (Rechner), NID (Network intrusion detection) Netzwerk
- Schwäche: Unbekannte/unsichtbare (“low-and-slow”) Angriffe
Recovery
- nachdem ein Schutzziel verletzt wurde
- Beispiele: Computer-Forensik, Malware-Analyse
- Grenzen: (u.U.) schwere Schaden bereits eingetreten, Spurenverwischung, -zerstörung
Authenzität
Echtheit von Personen und Ressourcen
Accountability
Verknüpfung von Aktionen mit Benutzern –> non-repudiation
Privacy
Sicherheit und Kontrolle über personenbezogene Daten –> Individuen und nicht Daten
Authentifizerung
- Verknüpfung einer Identität mit einem Subjekt
- Bestätigungsmechanismen: (geheimes) Wissen, Besitz, Individuelle (menschliche) Eigenschaften –> Fuzziness (FAR, FRR, ERR), Aufenthaltsort
Passwörter
- Authentifizierung über Wissen
- häufig in Kombination mit kryptographischen Verfahren
Passwortprobleme
- Password-spoofing: Netzwerkverkehr, kompromittierte Systeme
- (online) erraten oder (offline) knacken
- menschlicher Faktor: schwache oder aufgeschriebene Passwörter
Passwortangriffe
- Dictionary attack <> Salt
- Social engineering
- Hardware-Tastatureingabeprotokollierung (keylogger), auch mobile software
- sniffing
- Trojanische Pferde
- Systematisches Raten (online, offline) (cracking, grinding)
- Brute Force
Passwortmaßnahmen
- Regeln und Tipps
- Regeln technisch definieren
- Passwortalterung
- SSO
- Konto blockieren nach falschen Eingaben
- Stärke überprüfen
–> reaktiv: eigene Passwörter brechen