IT-Sicherheit Flashcards
Risiken der IT (3 + Beispiele)
- absichtliche Schäden ○ extern - Wirtschaftsspionage - Erpressung ○ intern - Manipulation der Systeme - Preisgabe durch ehem. Mitarbeitern - unbefugter Zugriff - unabsichtliche Schäden ○ Bedienfehler ○ Unachtsamkeit - unbeeinflussbare Schäden ○ Naturkatastrophen ○ Brände ○ Überschwemmungen
Auswirkungen der IT-Risiken (5)
- finanzielle Schäden
- Datenverlust (evtl. persönliche Daten)
- Ansehensverlust
- Kontrollverlust
- Gefahr für Leib und Leben (je nach Anwendungsgebiet)
Schutzziele der IT (6)
- Vertraulichkeit
- Integrität
- Verfügbarkeit
- Authentizität
- Verbindlichkeit
- Anonymität
(Ziele sind nicht immer alle nötig / miteinander vereinbar)
Definition Vertraulichkeit (Schutzziel)
- Zugriff nur für Berechtigte
Definition Integrität (Schutzziel)
- Unverfälschtheit (Änderungen sollen auffallen)
Definition Verfügbarkeit (Schutzziel)
- Daten und Systeme sollen jederzeit einsatzbereit sein
Definition Authentizität (Schutzziel)
- Identititäsprüfung einer Person
Definition Verbindlichkeit (Schutzziel)
- nachträgliche Beweisbarkeit von Handlungen (auf Person oder System zurückführbar)
Definition Anonymität (Schutzziel)
- Daten und Handlungen sollen nicht auf Personen zurückzuführen sein
Mittel zum Erreichen von Vertraulichkeit
Verschlüsselungen
Warum benötigt man Verschlüsselungen?
Extrahieren der Nachrichten in Übermittlungskanälen
Sinn Verschlüsselung (allgemein)
- verschlüsselte Nachrichten können abgefangen aber nicht gelesen werden
- ein Schlüssel ist zum Lesen notwendig
Vorgehen Verschlüsselung (allgemein)
- Sender schreibt Klartext
- Klartext wird zu Geheimtext verschlüsselt
- Geheimtext wird übermittelt
- Geheimtext wird zu Klartext entschlüsselt
- Empfänger liest Klartext
Ansätze zur sicheren Verschlüsselung
- Security by Obscurity
- Kerhoffs’ Prinzip
Erklärung “Security by Obscurity”
- Verschlüsselungsverfahren geheim
- weniger Wissen = weniger Angriffsfläche
Erklärung “Kerckhoffs’ Prinzip
- Funktionsweise öffentlich
- Schlüssel geheim
- öffentliche Funktion = mehr Test = mehr Sicherheitslücken schließen
Erklärung End-to-End-Verschlüsselung
- Nachrichten werden von Benutzer zu Benutzer verschlüsselt
- auch Anbieter kann nur Geheimtext sehen
- früher: Angriffspunkt bei Anbieter, da hier der Klartext war
Klassifikation Verschlüsselungen
- symmetrische Verfahren
- asymmetrische Verfahren
- hybride Verfahren
Erklärung “symmetrische Verschlüsselung”
- Sender und Empfänger haben gleichen Schlüssel
- schnell, dafür Gefahr beim Übermitteln des Schlüssels
Erklärung “asymmetrische Verschlüsselung”
- Sender und Empfänger haben individuellen Schlüssel + dritten öffentlichen Schlüssel
- langsamer, dafür leichterer Schlüsselaustausch
Erklärung “hybride Verschlüsselung”
- Klartext wird symmetrisch verschlüsselt
- Schlüssel wird asymmetrisch verschlüsselt
- Geheimtext und kodierter Schlüssel werden getauscht
- vereinigt Vor- und Nachteile (nur “kurzer” Schlüssel muss aufwendig kodiert werden)
Klassifikation Authentifikationsverfahren (+ Beispiele)
- Wissen ○ PIN ○ Passwörter ○ Sicherheitsfragen - Besitz ○ Ausweis ○ Chip-Karte ○ Geräte (TAN-Generator, Handy, SIM) - biometrische Eigenschaften ○ Fingerabdruck ○ Gesichtserkennung ○ Iris-Scan
Erklärung 2-Faktor-Authentifizierung
- höhere Sicherheit durch Methodenkombination
- am besten aus mehreren Klassen (z.B. Handy + PIN, Face ID + SMS-Code)
Erklärung “Caesar-Verschlüsselung”
- Verschlüsselung: Verschieben der Buchstaben im Alphabet
- Schlüssel: Stellenanzahl um die verschoben wird
