LE 3.4 Angriffe auf den Menschen

Question 1

Perspektiven Rolle des Menschen bezüglich IT-Sicherheit

Answer 1

• Benutzer als Komponente eines IT-Systems

- Mensch als Ziel selbs

Question 2

Identitätsdiebstahl

Answer 2

• wenn ein Angreifer Daten erbeutet, mit denen er sich gegenüber einem System als eine andere Person ausgeben kann
• Bezug zu Authentifizierungsprozess: -> Welcher Teil des Authentifizierungssystematik betroffen
  - Authentifizierungsdaten (PW erraten)
  - Angridff auf Referenzdaten (PW erbeuten)
  doppelte Rolle Referenzdaten: Manipulation und Quelle diebstahls
• Kontrolle der technischen Representation erlangen

Beispiel: PW Diebstahl, Kreditkartendiebstahl

Question 3

Angriffe auf den Authentifizierungsprozess

Answer 3

• Referenzdaten:
  per Schadsoftware Zugang zu einem Server und einer Datenbank Angriff auf die Referenzdaten, die im System gespeichert sind
• Vergleichsprozess:
  per Webanwendung Zugriff auf Daten via SQL-Injection Angriff auf den Schritt des Vergleichs innerhalb des Authentifizierungsprozesses.
  “Vergleich” : eigenen Fingerabdruck hinterlegen
  “Vergleichsfunktion” Schwelle senken, da keine Prüfung auf Exaktheit
• Identitätsdiebstahl:
  Angriff auf das Authentifizierungsobjekt selbst, das man dem authentifizierenden System übergibt, daher handelt es sich hierbei um den eigentlichen Identitätsdiebstahl
  “Datenaufnahme”: Fingerabdruck selbst machen
• System Manipulieren, sodass es immer ja sagt

Question 4

Typische Fehler seitens Anwender:innen Passwörter:

Answer 4

• Zu einfache Passwörter
• Zu kurze Passwörter:
• Standard-Passwort
• Gleiche Passwörter
• Passwörter notieren
• Weitergabe

Question 5

Erkenntnisse bzg. PW Stärke

Answer 5

Erkenntnis 1: Es macht einen großen Unterschied macht, wenn man den Zeichenvorrat erweitern und die Passwortlänge vergrößert.

Erkenntnis 2: Der Vorteil, einen größeren Zeichenvorrat zu benutzen (hier also auch Ziffern statt nur Buchstaben), kommt bei kurzen Passwörtern kaum zum Tragen.

Question 6

Passwörter, zwei Kriterien

Answer 6

• Wählen Sie ein Passwort von mindestens 12 Zeichen. Länger ist besser!
• Wählen Sie komplexe Passwörterfür jeden Dienst ein anderes Passwort benutzen,
  Passwörter nicht aufschreiben und
  Passwörter für sich behalten und nicht weitergeben, auch nicht an wirklich sehr vertrauenswürdige Personen.

Question 7

Kompromittierung des biometrischen Verfahrens

Answer 7

Angriff setz an:

• Bei den hinterlegten Referenzdaten
• beim Vergleich
• bei dem Authentifizierungsobjekt selbst.

Question 8

Social Engineering

Answer 8

• die geschickte Beeinflussung anderer Menschen mit dem Ziel, dass sie bestimmte Handlungen ausführen
• dass Personen zum Beispiel dazu gebracht werden, vertrauliche Informationen preiszugeben oder auch Software aus zweifelhafter Quelle zu installieren
• funktioniert deshalb so gut, weil die meisten Menschen gern höflich und hilfsbereit sind, informiert und intelligent erscheinen

Question 9

Vorgehensweisen Social Engineering

Answer 9

• Information sammeln
• Vertrauen aufbauen: Pretexting
• Beeinflussung, .durch Reziprozität (Gegenseitigkeit, Wechselwirkung)
• Phishing: besondere Form des SE–> Computerbasiertes SE

Question 10

Profiling

Answer 10

• Mensch nicht als Schwachstelle, sondern als Individuum interessant, das im gesellschaftlichen Kontext handelt
• Erstellung und Nutzung von Nutzerprofilen durch Computer-basierte Datenanalyse. Dabei ist ein Nutzerprofil eine digitale Repräsentation einer Identität, die aus möglichst vielen persönlichen Daten (vergl. Unterabschnitt 2.5.2) besteht. Man kann auch vom “Digitalen Schatten” sprechen

Question 11

Schritte bei Erstellung von Nutzerprofilen

Answer 11

• Die Sammlung von Daten,
• deren Auswertung sowie
• die Interpretation der Analyseergebnisse.

Question 12

Browser-Fingerprint

Answer 12

• Fußabdruck, den ein Browser hinterlässt, wenn er Webseiten anfordert
• ergibt sich aus einer Reihe von technische Daten, die der Browser bei Seitenaufrufen dem angefragten Server übermittelt.

Question 13

Risiken des Profilings

Answer 13

• Ursprünglich anonyme oder pseudonyme Daten lassen Rückschlüsse auf reale Identitäten zu.
• Es können Verknüpfungen von Profilen auftreten, die zu ursprünglich unterschiedlichen realen Identäten gehören
• Menschen können wirtschaftliche Nachteile erleiden, z.B. wenn sie aufgrund ihres Profils höhere Preise angezeigt bekommen oder schlechtere Kreditikonditionen angeboten bekommen.
• Sie können auf Basis ihres digitalen Schattens diskriminiert werden
• Je mehr Akteure Daten sammeln und je automatisierter Daten gesammelt werden, desto schwieriger wird es, das Recht auf informationelle Selbstbestimmung auszuüben.
• Je mehr Daten gesammelt werden, desto schwieriger wird es für den Einzelnen, für das Schutzziel Vertraulichkeit zu sorgen.
• Je mehr Systeme es gibt, in denen Informationen über Menschen gesammelt werden, desto mehr Angriffsmöglichkeiten gibt es für Unbefugte, an diese Daten heranzukommen.
• Je mehr Daten und Analysen es gibt, desto schwerer ist nachzuvollziehen, wie verlässlich die Daten sind und – auf eine gewisse Interpretationsweise – ob die Integrität gewährleistet bleibt.