IT Security (VL8) Flashcards
Security by Design
Hard- und Software ist von vornherein auf Sicherheit ausgelegt.
Hauptproblem von IT Security
Sicherheit nicht direkt messbar (gibt nur Metriken für Teilaspekte -> z.B. organizational/preventive measure = security training)
Sicherheit nicht direkt messbar -> Lösung?
Indirekte Definition (und Messung) von IT-Sicherheit über (Teil-)Ziele —> CIA-Triad: Informationen oder Daten müssen geschützt werden. Der Zugang zu diesem muss eingeschränkt und kontrolliert werden, so dass nur autorisierten Subjekten Zugang gewährt wird.
Confidentiality (&Maßnahme)
- Vertraulichkeit ist gewährleistet, wenn geschützte Daten nur von autorisierten Personen verwendet werden können
- Akzeptierte Sicherheitsmaßnahme: Verschlüsselung
Integrity (&Maßnahme)
- Integrität ist gewährleistet, wenn geschützte Daten nicht unautorisiert und unbemerkt verändert werden können
- Akzeptierte Sicherheitsmaßnahme: kryptographische Methoden
Availability (&Maßnahme)
- Verfügbarkeit ist gewährleistet, wenn autorisierte Subjekte ihre Berechtigungen ohne Unterbrechung ausführen können
- Akzeptierte Sicherheitsmaßnahme: Redundanzen oder Überversorgung (z.B. Backups, mehrere Server usw.)
Nenne 4 Arten von Security Attacks
Interception (Abfangen), Interruption (Unterbrechung), Modification (Änderung), Fabrication (Herstellung)
Security Attacks: Interception (Abfangen)
erlauben unautorisierten Benutzern den Zugriff auf Daten, Anwendungen/Umgebungen -> Bsp.: unautorisierte Dateianzeige, Canva Data Breach (Personen haben sich Zugang zu verschlüsselten Passwortdaten der australischen Grafikdesign-Maut-Website Canva verschafft)
Security Attacks: Interruption (Unterbrechung):
verursachen, dass Vermögenswerte vorübergehend oder dauerhaft unbrauchbar/ nicht verfügbar sind -> Bsp.: DoS-Angriff, WannaCry (Angreifer nutzten einen Wurm, der auf Computer mit dem Microsoft-Betriebssystem abzielte)
Security Attacks: Modification (Änderung):
Manipulation von Vermögens-werten -> Bsp.: Änderung von Daten in einer Datenbank, Doping Hack (Hacker drangen in die Systeme der Welt-Anti-Doping-Agentur ein und veröffentlichten die medizinischen Daten vieler berühmter Sportler)
Security Attacks: Fabrication (Herstellung):
Generierung (falscher) Daten, Prozesse, Kommunikation oder Ähnliches -> Bsp.: Spoofing, Malaysia Airlines DNS spoofing attack (Hacker nutzten DNS-Spoofing-Techniken, um Verkehr von der offiziellen Website der Fluggesellschaft Malaysia Airline umzuleiten)
Denial of Service (DoS):
Angriffsversuche, um das Zielsystem oder -netzwerk für autorisierte Benutzer unbrauchbar zu machen i.d.R. durch Überflutung des Zielsystems mit Anfragen (System überlasten)-> weiter Möglichkeiten: Verursachung einer Fehlermeldung, Ausnutzung von Programmierfehlern oder Protokollschwächen
DDoS-Angriff
Bei einem DDoS-Angriff (Distributed DoS) stammt eingehender Datenverkehr aus verschiedenen Quellen -> unmöglich, Angriff durch Blockieren einer ‚ einzigen Quelle zu beenden
Spear Phishing
Angreifer sammeln & verwenden persönliche Infos über Ziele bestimmter Personen/
Unternehmen (im Gegensatz zu Bulk Phishing), um Erfolgswahrscheinlichkeit zu erhöhen.
Phising Methoden (5)
- Whaling -> Speer-Phishing-Angriff, der sich gegen hochkarätige Ziele (CEO, CFO usw.) richtet
- Email Spoofing -> Absenderadresse einer E-Mail wird gefälscht
- Clone Phishing -> zuvor zugestellte E-Mail mit einem Anhang oder Link wird durch eine bösartige Version ersetzt & von gefälschter E-Mail-Adresse versendet
- Pharming -> Manipulation der DNS-Anforderungen von Web-Browsern (z.B. durch DNS- Spoofing), um Benutzer auf gefälschte Websites umzuleiten
- Vishing -> Versuche, Empfänger dazu zu bringen, Zugangsdaten, Passwörter, Kreditkartendaten usw. per Telefon zu übermitteln
