close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

DD236 als PDF

EinbettenHerunterladen
Organisatorisches
Einleitung
Grundlagen
IT-Sicherheit
WS 2014/2015
´
´
Jun.-Prof. Dr. Gabor
Erdelyi
¨ Siegen
Lehrstuhl fur
¨ Entscheidungs- und Organisationstheorie, Universitat
Siegen, 21. Oktober 2014
Bedrohungen
Organisatorisches
Einleitung
Grundlagen
Kontakt
• Tel.: (0271) 740-3969
• E-Mail: erdelyi@wiwi.uni-siegen.de
• Raum: H-D 6208
• Website: www.uni-siegen.de/fb5/dt
• Sprechstunde: Nach Vereinbarung
Bedrohungen
Organisatorisches
Einleitung
Grundlagen
Veranstaltung
• Vorlesung: Dienstags 10:30-12:00
¨
• Ubung:
Christian Reger
• Klausur: Modulprufung
mit ,,Einsatz von
¨
Anwendungssystemen“ (Prof. Niehaves)
• Bewertung: 50% − 50%
Bedrohungen
Organisatorisches
Einleitung
Grundlagen
Bedrohungen
Literatur
• C. Eckert: ,,IT-Sicherheit: Konzepte-Verfahren-Protokolle“.
Oldenbourg Verlag Munchen,
2013.
¨
• J. Rothe: ,,Komplexitatstheorie
¨
und Kryptologie“.
eXamen.press, Springer-Verlag, Berlin, Heidelberg, 2008.
• D. R. Stinson: ,,Cryptography: Theory and Practice“.
Chapman & Hall/CRC, 2002.
Organisatorisches
Einleitung
Grundlagen
Bedrohungen
Weiterfuhrende
Literatur
¨
• T. W. Harich: ,,IT-Sicherheitsmanagement“. mitp, 2012.
• W. Stallings and L. Brown: ,,Computer Security“. Pearson
Education International, 2008.
• W. Stallings: ,,Cryptography and Network Security:
Principles and Practice“. Pearson Education International,
2011.
• A. Beutelspacher, J. Schwenk, and K. Wolfenstetter:
,,Moderne Verfahren der Kryptographie“. Vieweg, 2001.
Organisatorisches
Einleitung
Grundlagen
Warum IT-Sicherheit?
• Fast alles automatisiert mit Computer Steuerung.
• Beispiel: Milch kaufen
• Automatisierte Melkvorgange
¨
• Verarbeitung
• Lieferung
• Nachfrage im Einzelhandel
• Bezahlvorgang (Kreditkarte, EC-Karte)
• Verbraucherprofil (Payback)
• Indirekt: Smatphone-Positionsangabe
Bedrohungen
Organisatorisches
Einleitung
Grundlagen
Fakten aus 2013
• 673 Millionen Internetseiten
• 2,756 Milliarden User
• 3,9 Milliarden E-Mail Konten
• 182,9 Milliarden E-Mails/Tag weltweit
• 900 Millionen mobile E-Mails
Bedrohungen
Organisatorisches
Einleitung
Grundlagen
Grundlegende Begriffe I
• IT-System
• offen
• geschlossen
• Soziotechnisches System
• Objekt
• passiv (Datei, Datenbankeintrag,. . . ): speichert
Informationen
• aktiv (Prozesse,. . . ): speichert und verarbeitet
Informationen
Bedrohungen
Organisatorisches
Einleitung
Grundlagen
Bedrohungen
Grundlegende Begriffe II
• Information:
• verschiedene Formen, viele Bedeutungen
• wie und wo wird gespeichert?
• Subjekte des Systems:
• Benutzer
• Objekte
• Zugriff: Interaktion zwischen Subjekt und Objekt. Fur
¨ den
Zugriff auf Informationen - Rechte!
• Autorisierung
Organisatorisches
Einleitung
Grundlagen
Bedrohungen
Grundlegende Begriffe III
• Informationskanale:
¨
• legitimer Kanal: fur
¨ Informationstausch
• verdeckter Kanal: nicht fur
¨ Informationstausch, wird aber
dafur
¨ missbraucht
• Sicherheit:
• Funktionssicherheit (safety)
• Informationssicherheit (security)
• Datensicherheit (protection)
• Datenschutz (privacy)
Organisatorisches
Einleitung
Grundlagen
Bedrohungen
¨ (authenticity)
Authentizitat
Definition
Ist die Echtheit und Glaubwurdigkeit
eines Objekts bzw.
¨
¨ und char.
Subjekts, die anhand einer eindeutigen Identitat
Eigenschaften uberpr
ufbar
ist.
¨
¨
Example (Charakteristische Eigenschaft)
• Passwort
• biometrische Merkmale
• Kryptoverfahren (Kommunikation mit Web-Server, Access
Points)
Organisatorisches
Einleitung
Grundlagen
¨ (integrity)
Datenintegritat
Definition
¨
Subjekten ist es nicht moglich
die zu schutzenden
Daten
¨
unautorisiert und unbemerkt zu manipulieren.
• Benutzerrechte festlegen
• Manipulation muss erkannt werden konnen!
¨
Bedrohungen
Organisatorisches
Einleitung
Grundlagen
Bedrohungen
Informationsvertraulichkeit (confidentiality)
Definition
¨
Es wird keine unautorisierte Informationsgewinnung ermoglicht.
• Interferenzkontrolle
Organisatorisches
Einleitung
Grundlagen
Verfugbarkeit
(availability)
¨
Definition
Authentifizierte und autorisierte Subjekte werden in ihrer
¨
Berechtigungen nicht unautorisiert beeintrachtigt.
Example
Hohes Datenaufkommen ⇒ CPU blockiert
Gegenmaßnahme: Regelung von CPU Zeiten.
Bedrohungen
Organisatorisches
Einleitung
Grundlagen
Bedrohungen
Verbindlichkeit (non repudiation)
Definition
¨
Ein System gewahrleistet
Verbindlichkeit einer Menge von
¨
Aktionen, wenn es nicht moglich
ist, dass ein Subjekt im
Nachhinein die Durchfuhrung
einer solchen Aktion abstreiten
¨
kann.
Example
E-Commerce, E-Business: Rechtsverbindlichkeit
¨
durchgefuhrter
geschaftlicher
Transaktionen z.B. mit digitalen
¨
Signaturen.
Organisatorisches
Einleitung
Grundlagen
Grundbegriffe I
• Verwundbarkeit - Die Sicherheitsdienste des Systems
¨
¨
konnen
umgangen oder getauscht
werden.
• Schwachstelle - Ein Punkt im System, an dem es
verwundbar werden kann.
• physische Schwachstelle
• naturliche
Schwachstelle
¨
• unsachgemaße
¨
Nutzung
• Softwarefehler
• unsichere Kommunikationskanale
¨
Bedrohungen
Organisatorisches
Einleitung
Grundlagen
Bedrohungen
Grundbegriffe II
• Bedrohung - Zielt darauf ab, Schwachstellen bzw.
Vewundbarkeiten auszunutzen, um einen Verlust der
¨ der Informationsvertraulichkeit oder um die
Datenintegritat,
¨ von Subjekten zu gefahrden.
¨
Authentizitat
• Risiko - Ist die Wahrscheinlichkeit des Eintritts eines
¨
Schadensereignisses und die Hohe
des potentiellen
Schadens.
Organisatorisches
Einleitung
Grundlagen
Bedrohungen
Angriffs-Typen
Definition (Angriff (attack))
Ist ein nicht autorisierter Zugriff bzw. Zugriffsversuch auf das
System.
• passiv - unautorisierte Informationsgewinnung (Abhoren,
¨
Lesen)
• aktiv - unautorisierte Modifikation von Datenobjekten
¨
¨
(Verandern
oder Loschen
von Datenpaketen)
Organisatorisches
Einleitung
Grundlagen
Angreifer-Typen
• Hacker
• Cracker
• Skript Kiddie
• Wirtschaftsspionage
• Kriminelle
• Bot-Netz
• Mitarbeiter
• Social Engineering
• Cyber-Crime/Terrorismus
Bedrohungen
Organisatorisches
Einleitung
Grundlagen
Buffer-Overflow
• Schwachstelle: Implementierfehler
• Idee: Felder/Bereiche mit fester Lange
¨
mit ubergroßen
¨
Daten uberfluten
¨
• C, C++ sehr anfallig,
¨
z.B Befehle wie strcpy()
Bedrohungen
Organisatorisches
Einleitung
Grundlagen
Buffer-Overflow
• Schwachstelle: Implementierfehler
• Idee: Felder/Bereiche mit fester Lange
¨
mit ubergroßen
¨
Daten uberfluten
¨
• C, C++ sehr anfallig,
¨
z.B Befehle wie strcpy()
• Gegenmaßnahmen:
• sichere Programmierung
• Eingabenlangenkontrolle
¨
• DEP (Data Execution Prevention)
• ASLR (Address Space Layout Randomization)
Bedrohungen
Document
Kategorie
Internet
Seitenansichten
5
Dateigröße
150 KB
Tags
1/--Seiten
melden