Worin unterscheiden sich IT-Sicherheit und Datenschutz und wo ist die Schnittstelle?
IT-Sicherheit
Datenschutz
Schnittstelle
- IT-Sicherheitsmaßnahmen ohne direkte Datenschutzrelevanz (z.B. Blitzschutz)
- eigener Anspruch des Unternehmens
Datenschutz
- Spezifische Maßnahmen des Datenschutzes (z.B. Meldepflichten)
- Gesetzliche Anforderung (BDSG)
Schnittstelle
- IT-Sicherheitsmaßnahmen mit Datenschutz-Relevanz
Was sind die Ziele von Sicherheit?
- Integrität
- Authentizität
- Vertraulichkeit
- Verfügbarkeit
Was bedeutet Integrität?
- Daten dürfen nicht verändert werden
- Veränderung muss erkannt werden
Was bedeutet Authentizität?
- Daten kommen von einer bestimmten Person bzw. von einem bestimmten System
Was bedeutet Vertraulichkeit?
- Daten dürfen nur bestimmten Personen/Systemen zugänglich gemacht werden
- Daten sollen während Übertragung nicht mitgelesen werden können
Was sind die Vorteile eines Mailservers?
- eingehende Mails werden auf eigenem Mailserver gespeichert → höherer Datenschutz, mehr Privatsphäre
- keine Beschränkungen hinsichtlich Anzahl Benutzer/Postfächer und Größe der Daten
- größere Unabhängigkeit
Was ist ein Verschlüsselungsgateway?
- serverseitige Verschlüsselung → Verschlüsselung, Signatur laufen über E-Mail-Gateway → Automatisierung, Vereinheitlichung, Sicherheit
- zentrales Sclhüssel-Management
- einfache Handhabung durch Standardeinstellungen
- keine verschlüsselten Mails im LAN
- Vertreterregelungen, Virenschutz
- Gateway wird an zentraler Stelle des Unternehmensnetzwerks implementiert
Was sind die Eigenschaften symmetrischer Verschlüsselung?
- Algorithmus und derselbe Schlüssel für Ver- und Entschlüsselung
- Schlüssel muss geheim bleiben, Algorithmus nicht
- Problem der sicheren Schlüsselübergabe
- bei vielen Partnern viele Schlüssel → Verwaltungsaufwand
- schnell
Was sind die Eigenschaften asymmetrischer Verschlüsselung?
- jeder Anwender besitzt öffentlichen und privaten Schlüssel
- öffentlicher Schlüssel wird öffentlich gemacht → kann von anderem Anwender benutzt werden, um Nachricht vor Senden zu verschlüsseln
- privater Schlüssel dient zum Entschlüsseln
- weniger Schlüssel zu verwalten
- langsam
Was sind die Eigenschaften hybrider Verschlüsselung?
- symmetrische und asymmetrische Verschlüsselung je nach Aufgabe
- z.B. Verbindungsaufbau im Netzwerk asymmetrisch, eigentliche Datenübertragung symmetrisch
- Einsatz bei IPSEC
Was sind Hashes?
- kryptografische Prüfsummen
- dienen der Integrität von Daten
- Hashfunktion bildet Zeichenfolge beliebiger Länge auf Zeichenfolge mit fester Länge ab
Was ist eine digitale Signatur?
- Kombination aus Hash und asymmetrischer Verschlüsselung
- Hash wird über Datenpaket gebildet und mit privatem Schlüssel verschlüsselt
- verschlüsselter Hash wird an Originaldaten angehängt
- Überprüfung der Echtheit mit öffentlichem Schlüssel
- Hash → Integrität
- Verschlüsselung → Authentizität
Was ist ein Zertifikat und wie ist es aufgebaut?
- elektronischer Identifizierer, der eine digitale Signatur enthält, die von einer Zertifizierungsstelle mit einem privaten Schlüssel erstellt wurde
- Echtheit der Schlüssel wird von Empfängern überprüft
Aufbau
- Name Aussteller
- digitale Signatur
- Name des Inhabers
- öffentlicher Schlüssel des Inhabers
- Gültigkeitsdauer
Was ist PKI?
- Ausstellung digitaler Zertifikate, Verteilung und Prüfung
- zur Absicherung rechnergestützter Kommunikation
- öffentlicher und privater Schlüssel werden erstellt
Was sind Certificate und Registration Authority bei PKI?
- Certificate Authority: Ausgabe und Verifizierung digitaler Zertifikate
- Registration Authority: Verifizierung der Zertifizierungsstelle
Was sind Root und Intermediate certificate bei PKI?
- Root certificate: Zertifikat, das die Root CA identifiziert
- Intermediate certificate: beweist, dass CA vertrauenwürdig ist
Was ist eine Certificate Revocation List?
Liste mit zurückgezogenen, abgelaufenen und für ungültig erklärten Zertifikaten
Was sind Verzeichnis- und Validierungsdienst?
Verzeichnisdienst
durchsuchbares Verzeichnis, welches ausgestellte Zertifikate enthält
Validierungsdienst
Dienst zur Überprüfung von Zertifikaten in Echtzeit
durchsuchbares Verzeichnis, welches ausgestellte Zertifikate enthält
Validierungsdienst
Dienst zur Überprüfung von Zertifikaten in Echtzeit
Was ist das Ziel des IT-Sicherheitsgesetzes?
- soll IT-Systeme und digitale Infrastrukturen sicher machen
- Verfügbarkeit der IT-Systeme sicherstellen
- insbesondere Bereich der kritischen Infrastrukturen
Welche Grundinhalte hat das BDSG?
- Datenvermeidung, Datensparsamkeit, Zweckbindung
- Einrichtung ISMS
- Erstellung Verfahrensverzeichnis
Was sind die 8 Gebote des BDSG?
- Zutrittskontrolle (räumlich)
- Zugangskontrolle (Nutzung des Systems)
- Zugriffskontrolle (Autorisierung für Inhalte)
- Weitergabekontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Trennung je Zweck
Welche Kataloge gibt es in den IT-Grundschutz-Katalogen?
- Bausteinkataloge
- Gefährdungskataloge
- Maßnahmenkataloge
Aus welchen Schichten besteht das OSI-Modell?
7. Anwendung
6. Darstellung
5. Sitzung
4. Transport
3. Vermittlung
2. Sicherung
1. Bitübertragung
6. Darstellung
5. Sitzung
4. Transport
3. Vermittlung
2. Sicherung
1. Bitübertragung
Was ist ein Ping of death?
- Denial-of-Service-Attacke
- Kreierung eines Datenpakets, dessen Gesamtgröße die zulässige Maximalgröße überschreitet
- Ankommen des Pakets am System mit anfälligem TCP/IP-Stack → Absturz
Was ist SYN-flooding?
- Client sendet SYN-Paket an Server
- Server legt benötigte Datenstrukturen in Form eines TCBs an und antwortet mit SYN/ACK
- Client schickt in rascher Folge SYN-Anfragen mit gefälschten Absenderadressen → angegriffener Server muss TCBs eine Zeit lang aufbewahren → Speicher voll → kann nicht mehr erreicht werden
Welche Aufgabe hat eine Firewall?
- Paketfilter routet oder blockiert Pakete entsprechend der Sicherheitspolitik eines Standort
Was ist eine stateful Firewall?
- bezieht Zustand des Pakets mit ein
- Pakete werden auf Vermittlungsschicht analysiert und in dynamischen Zustandstabellen gespeichert → Entscheidung für Weiterleitung
Was ist eine DMZ?
- Computernetz mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen Server
- es werden 2 Firewalls (oder 1 mit 2 Netzwerkkarten) benötigt
- in DMZ aufgestellte Systeme werden gegen andere Netze abgeschirmt
Welche Prinzipien des Netzwerkdesigns gibt es?
- Trennung von Netzwerken
- Verkehr nur vom vertrauenswürdigen ins weniger vertrauenswürdige Netz
- Nutzung privater Adressräume
- Nutzung stateful Firewalls / Webapplication Firewalls
- Nutzung IDP/IPS
Was ist ein Exploit?
- systematische Möglichkeit, bei der Programmentwicklung unberücksichtigte Schwachstellen auszunutzen
- Sicherheitslücken und Fehlfunktionen werden mit Hilfe von Programmcodes ausgenutzt → Zugang zu Ressourcen
Was ist eine SQL Injection?
- Anfragen werden so gestellt, dass die fehlerhaft arbeitende Präsentationsschicht Daten zurückliefert oder schreibt, die sie weder für Lese- oder Schreibzugriff verfügbar machen sollte
Was ist Cross Site Scripting?
- Informationen werden aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt
- injizierter Code kann ein Formular anzeigen, um User zu täuschen
- Ziel: Identitätsdiebstahl
Was ist Blockverschlüsselung?
- Nachricht wird in Blöcke fester Länge unterteilt
- jeder Block wird separat ver- und entschlüsselt
Was ist Stromchiffre?
- jedes Bit wird einzeln ver- und entschlüsselt
- Just-in-time
- Arbeiten mit Schieberegistern
Was ist Steganographie?
- geheimzuhaltende Nachricht wird in eine Hülle eingebettet
- minimale Veränderungen kaum bzw. nicht erkennbar
- Veränderungen nicht mit Messmethoden nachweisbar
- keine Verschlüsselung von Daten
Was sind Randbedingungen guter Stegosysteme?
- Original der Hülle unwiederbringlich vernichten
- nie eine Hülle zweimal verwenden
- Vermeiden von unnatürlichen Prozessen, z.B. Einbetten in künstliche Computergrafiken
Was ist Watermarking?
- geschützte digitale Mediendaten markieren → Urheberschaft sichern
Was sind StirMark Attacks?
- automatisierte Programme, die Watermarks entfernen
- Watermark nicht mehr erkennbar durch Algorithmus
Was sind robuste Hashes?
- Identifikation von "bösen" Bildern
- herkömmliche Hashverfahren sind für digitale Medien nur eingeschränkt geeignet (Verschleierung der Inhalte einfach, da nur identische Kopien erkannt werden)
- robuste Hashverfahren sind aufwändiger und weniger genau
- orientieren sich an menschlicher Wahrnehmung
- Suchen nach ähnlichen Hashs, nicht nach identischen
Was ist Traitor Tracing?
- taucht ein individueller Entschlüsselungsschlüssel illegal im Internet auf, kann der legale Besitzer ermittelt und verantwortlich gemacht werden
- Prozess der Rückverfolgung = Traitor Tracing
Was ist IT-Forensik?
- Vorfälle: Ereignisse, die schadhafte oder gefährdende Auswirkungen auf IT-Systeme eines Unternehmens haben
- IT-Forensik rekonstruiert den Sachverhalt auf Basis von Tatsachen
- Ziel: Sondierung des potenziellen/tatsächlichen Schadens sowie des verbleibenden Risikos
Kartensatzinfo:
Autor: @destructive_influen...
Oberthema: IT Security
Thema: IT Security
Schule / Uni: DHBW Stuttgart
Ort: Stuttgart
Veröffentlicht: 09.02.2017
Schlagwörter Karten:
Alle Karten (42)
keine Schlagwörter
