IT-Sicherheit Flashcards
Motivation der IT-Sicherheit (3)
1) Sicherheit für Daten und IT-Systeme
2) Sicherstellung des Betriebs
3) technische und organisatorische Maßnahmen zum Erreichen/Verbessern von IT-Sicherheit
Klassifikation von Risiken (3)
1) Absichtliche Schädigungen
- von externen
- von internen
2) Unbeabsichtigte Schädigungen
- Bedienfehler
- Unachtsamkeit
- usw.
3) Nicht beeinflussbare äußere Ereignisse
- z.B. Naturkatastrophen
Schutzziele (6)
1) Vertraulichkeit
• Zugriff auf Daten nur für Befugte
2) Integrität
• Unverfälschtheit von Daten (Änderungen an Daten sollen „auffallen“)
3) Verfügbarkeit
• Daten und IT-Systeme sollen jederzeit nutzbar sein
4) Authentizität
• Prüfung der Identität einer Person
5) Verbindlichkeit
• nachträgliche Beweisbarkeit, dass eine Person bzw. ein System eine Handlung getätigt hat
6) Anonymität
• Handlungen bzw. Daten sollen nicht auf eine Person zurückführbar sein
Anmerkungen zu den Schutzzielen
- Nicht alle Schutzziele sind in jeder Situation gewollt/notwendig
- Schutzziele können sich gegenseitig ausschließen
Erkläre Verschlüsselung
-Daten werden oft über Kanäle übertragen, bei denen
Unbefugte mitlesen können
-Ziel: Sichere Übertragung von Daten über eig. unsicheren Kanal
-also; Unbefugte können verschlüsselte Nachrichten vlt. erhalten aber nur Befugte können entschlüsseln
Wichtige Begriffe IT-Sicherheit
1) Klartext
- unverschlüsselter Text
2) Geheimtext
- verschlüsselter Text (nicht direkt lesbar)
Erkläre Caesar-Verschlüsselung
Verschlüsseln:
-jeder Buchstabe des Klartexts wird Anzahl x nach hinten Verschoben
Entschlüsseln:
-Jeder Buchstabe des Geheimtextes wird um gleiche Anzahl der Schlüssel nach vorn verschoben
Schlüssel:
Anzahl verschobener Stellen
Sicherheit der Caesar-Verschlüsselung
-25 Verschiebungen möglich, also 25 Schlüssel
Knacken:
-alle Schlüssel ausprobieren
Erkenntnis:
Verschlüsselungsverfahren müssen so viele Schlüssel haben, dass es nicht möglich ist, alle auszuprobieren (Brute-Force-Methode)
Erkläre: Security by Obscurity
• Funktionsweise des Verfahrens wird geheim gehalten
• Idee: Je weniger Wissen Angreifer über Verfahren haben, desto weniger
Angriffsfläche bietet sich ihnen
Erkläre: Kerckhoffs´ Prinzip
• Verfahren kann bzw. soll sogar bekannt sein; Sicherheit basiert auf
Geheimhaltung des Schlüssels
• Idee: Verfahren kann durch Öffentlichkeit auf Schwachstellen analysiert und getestet werden. Je mehr Personen (erfolglos) versuchen, das Verfahren zu „knacken“, als desto sicherer kann man es betrachten
-wird als überlegen betrachtet
Klassifikation Verschlüsselungsverfahren (3)
1) Symmetrisches Verschlüsselungsverfahren
2) Asymmetrisches Verschlüsselungsverfahren
3) Hybride Verschlüsselungsverfahren
Erkläre Symmetrische Verschlüsselungsverfahren
- Sender und Empfänger haben einen gemeinsamen Schlüssel
- Geheimtext wird also genauso verschlüsselt wie entschlüsselt
- Vorteil: relativ schnell
- Nachteil: sichere Übermittlung des gemeinsamen Schlüssels muss auf anderem Weg geschehen
- Beispiel: AES (Schlüssellänge: 256 Bit)
Asymmetrische Verschlüsselungsverfahren
- Sender und Empfänger haben jeweils einen privaten und den öffentlichen Schlüssel
- Klartext wird mit öffentlichem Schlüssel (des Empfängers) verschlüsselt
- Text wird mit privatem Schlüssel des Empfängers entschlüsselt
- Vorteil: leichter Schlüsselaustausch
- Nachteil: relativ langsam
- Beispiel: RSA (Schlüssellänge: 2.048 Bit)
Hybride Verschlüsselungsverfahren
-Kombination symmetrischer und asymmetrischer
Verschlüsselungsverfahren
-Ablauf:
1) Klartext wird mit einem symmetrischen Verfahren (z.B. AES) verschlüsselt (Vorteil: Geschwindigkeit)
2) Gemeinsamer Schlüssel wird asymmetrische verschlüsselt (z.B. RSA) (Vorteil: einfacher Schlüsselaustausch)
3) Geheimtext und asymmetrisch verschlüsselter gemeinsamer Schlüssel werden vom Sender zum Empfänger verschickt
Zweck Authentizität
-Prüfung der Identität einer Person für Zugriff auf ein IT-System bzw. Daten
