IT-Sicherheit Flashcards
Motivation der IT-Sicherheit (3)
1) Sicherheit für Daten und IT-Systeme
2) Sicherstellung des Betriebs
3) technische und organisatorische Maßnahmen zum Erreichen/Verbessern von IT-Sicherheit
Klassifikation von Risiken (3)
1) Absichtliche Schädigungen
- von externen
- von internen
2) Unbeabsichtigte Schädigungen
- Bedienfehler
- Unachtsamkeit
- usw.
3) Nicht beeinflussbare äußere Ereignisse
- z.B. Naturkatastrophen
Schutzziele (6)
1) Vertraulichkeit
• Zugriff auf Daten nur für Befugte
2) Integrität
• Unverfälschtheit von Daten (Änderungen an Daten sollen „auffallen“)
3) Verfügbarkeit
• Daten und IT-Systeme sollen jederzeit nutzbar sein
4) Authentizität
• Prüfung der Identität einer Person
5) Verbindlichkeit
• nachträgliche Beweisbarkeit, dass eine Person bzw. ein System eine Handlung getätigt hat
6) Anonymität
• Handlungen bzw. Daten sollen nicht auf eine Person zurückführbar sein
Anmerkungen zu den Schutzzielen
- Nicht alle Schutzziele sind in jeder Situation gewollt/notwendig
- Schutzziele können sich gegenseitig ausschließen
Erkläre Verschlüsselung
-Daten werden oft über Kanäle übertragen, bei denen
Unbefugte mitlesen können
-Ziel: Sichere Übertragung von Daten über eig. unsicheren Kanal
-also; Unbefugte können verschlüsselte Nachrichten vlt. erhalten aber nur Befugte können entschlüsseln
Wichtige Begriffe IT-Sicherheit
1) Klartext
- unverschlüsselter Text
2) Geheimtext
- verschlüsselter Text (nicht direkt lesbar)
Erkläre Caesar-Verschlüsselung
Verschlüsseln:
-jeder Buchstabe des Klartexts wird Anzahl x nach hinten Verschoben
Entschlüsseln:
-Jeder Buchstabe des Geheimtextes wird um gleiche Anzahl der Schlüssel nach vorn verschoben
Schlüssel:
Anzahl verschobener Stellen
Sicherheit der Caesar-Verschlüsselung
-25 Verschiebungen möglich, also 25 Schlüssel
Knacken:
-alle Schlüssel ausprobieren
Erkenntnis:
Verschlüsselungsverfahren müssen so viele Schlüssel haben, dass es nicht möglich ist, alle auszuprobieren (Brute-Force-Methode)
Erkläre: Security by Obscurity
• Funktionsweise des Verfahrens wird geheim gehalten
• Idee: Je weniger Wissen Angreifer über Verfahren haben, desto weniger
Angriffsfläche bietet sich ihnen
Erkläre: Kerckhoffs´ Prinzip
• Verfahren kann bzw. soll sogar bekannt sein; Sicherheit basiert auf
Geheimhaltung des Schlüssels
• Idee: Verfahren kann durch Öffentlichkeit auf Schwachstellen analysiert und getestet werden. Je mehr Personen (erfolglos) versuchen, das Verfahren zu „knacken“, als desto sicherer kann man es betrachten
-wird als überlegen betrachtet
Klassifikation Verschlüsselungsverfahren (3)
1) Symmetrisches Verschlüsselungsverfahren
2) Asymmetrisches Verschlüsselungsverfahren
3) Hybride Verschlüsselungsverfahren
Erkläre Symmetrische Verschlüsselungsverfahren
- Sender und Empfänger haben einen gemeinsamen Schlüssel
- Geheimtext wird also genauso verschlüsselt wie entschlüsselt
- Vorteil: relativ schnell
- Nachteil: sichere Übermittlung des gemeinsamen Schlüssels muss auf anderem Weg geschehen
- Beispiel: AES (Schlüssellänge: 256 Bit)
Asymmetrische Verschlüsselungsverfahren
- Sender und Empfänger haben jeweils einen privaten und den öffentlichen Schlüssel
- Klartext wird mit öffentlichem Schlüssel (des Empfängers) verschlüsselt
- Text wird mit privatem Schlüssel des Empfängers entschlüsselt
- Vorteil: leichter Schlüsselaustausch
- Nachteil: relativ langsam
- Beispiel: RSA (Schlüssellänge: 2.048 Bit)
Hybride Verschlüsselungsverfahren
-Kombination symmetrischer und asymmetrischer
Verschlüsselungsverfahren
-Ablauf:
1) Klartext wird mit einem symmetrischen Verfahren (z.B. AES) verschlüsselt (Vorteil: Geschwindigkeit)
2) Gemeinsamer Schlüssel wird asymmetrische verschlüsselt (z.B. RSA) (Vorteil: einfacher Schlüsselaustausch)
3) Geheimtext und asymmetrisch verschlüsselter gemeinsamer Schlüssel werden vom Sender zum Empfänger verschickt
Zweck Authentizität
-Prüfung der Identität einer Person für Zugriff auf ein IT-System bzw. Daten
Klassifikation von Authentifizierungsmethoden
1) Wissen • PIN • Passwort • Antwort auf Sicherheitsfrage 2) Besitz • Ausweis (Personalausweis, Mitarbeiterausweis , …) • Chip-Karte (Girocard, …) • TAN-Generator • Handy mit SIM-Karte 3) biometrische Eigenschaften • Fingerabdruck • Gesichtserkennung
Vorteile 2-Faktor-Authentifizierung
Steigerung der Sicherheit, da 2 Authentifizierungsmethoden genutzt werden (unterschiedliche Kategorien)
Beispiel: Girocard (Besitz) und Pin (Wissen)
Zweck Verfügbarkeit
Daten und IT-Systeme sollen jederzeit nutzbar sein
Beispiele für Gefahren:
- Stromausfall
- Netzwerkausfall
- Hardwaredefekt
- Naturkatastrophen
Schutzmaßnahmen der Verfügbarkeit
1) Maßnahmen, um Eintrittswahrscheinlichkeit zu minimieren
• Notstromversorgung (Akkus für wenige Minuten, danach Notstrom-Dieselgeneratoren)
• Redundanz bei Netzwerkanbindung
2) Maßnahmen, um Schadenshöhe im Eintrittsfall zu minimieren
• regelmäßige Erstellung von Backups (Sicherungskopien)
Zweck Schutzziel Vertaulichkeit
Zugriff auf Daten nur für Befugte