IT-Sicherheit

Question 1

Sicherheitssysteme von IT-Systemen

Answer 1

Potentielle Sicherheitsprobleme auf jeder Ebene

• Client: computerviren, Verlust einer Maschine
• Internetkommunikation: abhören, sniffling,
• Server: hacking, computerviren
• unternehmenssysteme: Diebstahl von Daten, kopieren von Daten, Änderungen von Daten

Question 2

Klassifikation von Schäden

Answer 2

(1) direkte Schäden
- kosten Wiederbeschaffung
- kosten Wiederherstellung/ Reparatur
- Verlust Geheimhaltung und Integrität

(2) Folgeschäden
- stillstandkosten
- imageverlust ggü Kunden
- anspruchskosten

Question 3

Schutzziele der IT Sicherheit

Answer 3

CIA Dreieck
• Confidentiality (Vertraulichkeit)
• Integrity (Integrität)
• Availability (Verfügbarkeit)

Zusätzliches Schutzziel
- Accountability (Zurechenbarkeit)

Question 4

Confidentiality

Answer 4

Informationen werden nur Berechtigten bekannt

Question 5

Integrity

Answer 5

Informationen sind richtig, vollständig und aktuell oder aber dies ist erkennbar nicht der Fall

Question 6

Availability

Answer 6

Informationen sind dort und dann zugänglich wo und wann sie von Berechtigten gebraucht werden

Question 7

Accountability

Answer 7

Sendern Bzw Empfängern von Informationen kann das senden Bzw Empfang der Information bewiesen werden

Question 8

Bedrohungen und korrespondierende schutzziele

Answer 8

(1) Informationsgewinn-> Rechnerhersteller erhält Krankengeschichten —> Vertraulichkeit
(2) Modifikation von Informationen -> unerkannt Dosierungsanweisungen ändern —> Integrität
(3) Beeinträchtigung der Funktionalität -> erkennbar ausgefallen —> Verfügbarkeit

Question 9

Authentisierung

Answer 9

Authentisierung ist die Bindung einer Identität an ein Subjekt.

Das Subjekt muss Informationen vorweisen die es dem System ermöglichen die Identität zu bestätigen

Question 10

Authentisierungsinformationen

Answer 10

Die Informationen kommen aus einer der folgenden Quellen:

(1) was das Subjekt weiß-> Passwörter
(2) was das Subjekt hat-> Ausweis
(3) wer das Subjekt ist -> Fingerabdruck

Question 11

Passwörter

Answer 11

Ein Passwort ist eine Information die mit einer Einheit verbunden ist und die die Identität dieser Einheit bestätigt

Question 12

Angriffe auf Passwortsysteme

Answer 12

• Passwörter erraten
• Passwörter abfangen
• Kompromittierung der Passwort Datei
• Bedrohung des Subjekts
• Social Engineering

Question 13

Systeminterne Verteidigungsmöglichkeiten

Answer 13

• pro-aktive passwortüberprüfung
• passwortgeneration Computer
• Alterung von Passwörtern
• Limitierung der Login versuche
• Benutzer informieren

Question 14

Password Spoofing

Answer 14

Identifizierung und Authentifizierung mittels Benutzername und Passwort bietet nur einseitige Authentifizierung-> Nutzer weiß nicht wer Passwort empfängt

Vorgehensweise:
- Angreifer lässt Programm laufen das gefälschten Login Screen zeigt

• Nutzer versucht sich an System einzuloggen
• er wird nach Benutzername und Passwort gefragt
• Angreifer speichert Daten
• Login wird mir gefälschter Fehlermeldung abgebrochen und Spoofing Programm wird beendet
• häufig wird Benutzer dann auf echten Login Screen weitergeleitet

Question 15

Phishing

Answer 15

Betrügerische E-Mail
Link zu gefälschter Login Seite
Gefälschte Adresse ist in URL sichtbar

Question 16

Pharming

Answer 16

• wenn Nutzer nach zu einer bestimmten URL gehörigen IP Adresse fragt bekommt er falsche Adresse als Antwort
• Angriff gegen DNS Server oder pc des Nutzers
• wenn der Nutzer versucht Webseite aufzurufen wird er auf falsche Webseite umgelenkt

Question 17

Security tokens

Answer 17

• physikalisches Token kann verloren gehen oder gestohlen werden
• jeder Besitzer des tokens hat selben zugriffsrechte wie rechtmäßige Eigentümer
• häufig werden tokens daher mit pins oder anderen Informationen kombiniert die zum rechtmäßigen Eigentümer gehören
• Risiko wird dadurch aber nicht eliminiert

Question 18

Biometrie

Answer 18

• Identifikation durch physikalische Merkmale ist so alt wie Menschheit selbst
• versuche physikalische Eigenschaften zu finden die eindeutige Identifizierung von Personen ermöglichen würden im Idealfall zur fehlerfreien Authentifizierung führen

Beispiele : Fingerabdruck, Stimmerkennung

Question 19

Multi- Faktoren Authentifizierung

Answer 19

• Authentifizierungsmechanismen können kombiniert werden und unterschiedliche Methoden können verwendet werden
• verschiedene Schichten der Authentifizierung erfordern dass Angreifer mehr wissen oder mehr besitzen muss als wenn nur eine Authentifizierungsschicht verwendet wird

Z.B. Geldautomat- Kombination Security token (Katze) und Passwort

Question 20

Schlüsselverteilung

Answer 20

• symmetrisch : beiden Partner haben selben Schlüssel

- asymmetrisch: Sender und Empfänger haben unterschiedliche aber zusammengehörige Schlüssel

Question 21

Angriffe - cyphertext only

Answer 21

Bei ciphertext only Angriffen steht Angreifer nur geheimtext zur Verfügung. Ziel des Angriffs ist es den zu geheimtext gehörenden Klartext zu bekommen und falls möglich eventuell auch in Besitz des Schlüssels zu kommen

Question 22

Angriffe- known plaintext

Answer 22

Bei einer known plaintext Attacke verfügt der Angreifer sowohl über den geheimtext als auch über Klartext. Das Ziel ist es den Schlüssel zu bekommen

Question 23

Angriffe- Chosen plaintext

Answer 23

Bei einer Chosen plaintext Attacke kann der Angreifer beliebige Klartexte verschlüsseln und erhält die jeweils zugehörigen geheimtexte. Das Ziel it es den Schlüssel herauszubekommen

Question 24

Symmetrische Verschlüsselungssysteme

Answer 24

Typische Anwendungen

• vertrauliche Speicherung von Daten eines Benutzers
• Übertragung von Daten zwischen 2 Nutzern die Schlüssel auf sicherem Wege vereinbaren können

Beispiel - vernam chiffre-> schlüssellänge = Länge des Klartextes

Question 25

Cäsar Chiffre

Answer 25

Jedem Buchstaben wird Nummer zugewiesen

Dadurch kann mit Buchstaben gerechnet werden

Anfällig ggü known plaintext, brute force und ciphertext only

Question 26

Bewertung Cäsar Chiffre

Answer 26

• sehr einfache Form der Verschlüsselung
• Ver und Entschlüsselungsfunktionen sind sehr einfach und sehr schnell zu berechnen
• es wird sehr eingeschränkter schlüsselraum verwendet
• > verschlüsselung lässt sich einfach und schnell brechen

Etwas besser Permutation

Question 27

Asymmetrische Verschlüsselung

Answer 27

Verwendung eines Schlüsselpaares

• öffentlicher Schlüssel dient nur zum Verschlüsseln
• schlüsseltest kann nur mit dazu gehörenden privaten geheimgehaltenen Schlüssel entschlüsselt werden

Privater Schlüssel kann aus öffentlichen Schlüssel nicht praktikabel berechnet werden

Öffentliche Schlüssel kann frei verteilt werden auch Ober unsichere Wege

Nachrichten werden mit öffentlichem Schlüssel des Empfängers verschlüsselt

Nur Empfänger besitzt privaten Schlüssel zum entschlüsseln.