Informatik für Ökonomen II

- Denial of Service (DoS): DDoS, SYN-Flooding, Smurfattacke

- Durch Security Policies (Sicherheitsprinzipien): Wisungen und Regeln (was erlaubt und nicht erlaubt ist), grundlegende Prinzipien (seine sie vorsichtig, usw.)

- Durch Modelle (Sehr anspruchsvoll): Formulierung einer Security Policy, welche alle Teilnehmer und Regeln einschliesst, Konsistentes Vorgehen (1. BEschreiben und Dokumentieren (formell), 2. Prüfung auf Vollständigkeit und Konsistenz, 3. KOnzept für die Implementation, 4. Überprüfen ob die Security Policy allen Ansprüchen gerecht wird und Implementation erfolgreich war)

ein Mittel, das gegen die Security Policy verstossen kann (Verlust der Datensicherheit, etc.)

(Verschlüsselung) stellt einen Service (Vertraulichkeit) zu Verfügung

eine Massnahme gegen Bedrohung:

- basierend auf Kryptographie: Authentication, Datensicherheit (Integrity und Confidentality), Ver- und Entschlüsselung, Schlüsselaustausch, Non-repudioation

- ohne Kryptographie: Access Control (Zugangskontrolle des Art des sich anmeldenden Objekts (Mensch oder Maschine) und dessen Herkunft), Intrusion Detecions (Eindringlingserkennung), Zudem auch physische Personelle Sicherheit

- nach ISO Standards

- Besitz: physischer Ausweis (Pass oder ID) Kreditkarte, etc.

- Wissen/Kenntnis: Passwort und Benutzername, SIcherheitsfrage, etc.

- Bimetrik: Fingerabdruck, Irisscan

- Kontext: George Clooney wird erkannt ohne Ausweis

- Können: persönliche Unterschrift

- Für Datenpaete: Hinzufügen einer Zahlenreihe um die Reihenfolge zu gewährleisten; Hinzufügen einer MAC oder Signatur

- Für Systeme und Benutzer: Einwegpassworte (eBanking Passwortliste), Zeitpassworte (eBankung Dongle), Biometrische Verfarhren, Anmeldung mittels MAC oder öffentlichem Schlüssel 

- Generell gilt: je mehr Mechanismen seriell (nacheinander) zur Anwendung kommen, desto sicherer (Bsp.: 2-Faktoren: EC-Karte und PIN, Kreditkarte und Unterschrift, Benutzername und Passwort, etc.; 3-Faktoren: Benutzername und Passwort und FIngerabdruck, etc.)

- Kryptographische Hash Funktion ( Message Digest Code (MDC)) verdaut eine Nachricht und gibt zugehörigen Wert aus F(x) = y; F(x) darf nicht invertierbar sein, sollte schnell berechnet werden können, Hash sollte mindesten 128 Bits lang sein, Verfahren MD5, SHA-1, RIPEMD-160

- Schlüsselabhängige Hashfunktion (MEssage Autentication Code, MAC F(x,k) = y, wobei k der schlüssel ist; kann manchmal anhand MDC jonstruiert werden, Verfahten: HMAC (RFC 2104), HMAC-MD5

- Vertraulichkeit versus Staats- und UNternehmenssicherheit

- Sicherheit versus Benutzerfreundlichkeit

- Nicht-Zurückweisbarkeit versus Beweise

- Verlistsicherheit versis Datensicherheit

- DoS versus SIcherung vor Eindringlingen

- Unvollständige SIcherheit besser als keine Sicherheit besser als falsche Sicherheit

- symmetrisch durch ein Key Distribution Center (KDC); KDC kennt alle Schlüssel der Benutzer und Services, KDC verteilt authentifizierten Benutzer einen temporären Sessionkey

- asymmetrisch; mit einem beliebigen Public Key Algorithmus, Schlüsseltausch abierend auf Diffie(Hellman(DH)Algorithmus (sehr sicher, benötigt eine Benutzerauthentifizierung, es müssen mindestens 3 Nachrichten übermittelt werden, sinnlos bei kurzen Nachrichten)

SIent zur sicheren Administration von Servern (im Gegensatz zu Telnet, was unsicher ist)

Dienen zur sicheren Datenübertragung für Internetdienste

- Bridging-Firewall

- Routing-Firewall

- Proxy-Firewall

- organisationale Sicherheit durch TTP

- technische Sicherheit durch ALgorithmen, Mechanismen, etc.

- sicheres Benutzerverhalten durch regelmässigen Passwortwechsel

- Alle drei zusammen bilden die INformtaionssicherheit bzw. Informtaionssystemsicherheit

- sehr populärer Authentifizierungsmechanismus

- sehr unsicher, da Menschen oft schwache Passwörter verwenden (Geburtstage, Name der Freundin

können im Gegensatz zu einer Unterschrift nicht die Echtheit beweisen

- Verschiedene sichere Verfahren Passwörter zu verwalten

- One-Time-Passwörter

Morris and Thompson: zu jedem Passwort gehört eine Zufallsnummer, diese wird bei jedem PW-Wechsel auch gewechselt;Zufallsnummer und PW sind verschlüsselt gespeichert, das erhöht die Anzahl möglicher Passworte un 2^(Anzahl Ziffern der Zufallsnummer)

- Singele Singn-On: einmalige Authentifizierung für alle Dienste

1. Authentifizierung

2. Authorisierung

3. Accounting/Protookollierung

- Standartisierte durch IETF

- durch RADIUS/Dieameter Protokolle

- starke Zunahme von Angriffen in den letzten Jahren

- hohe Kosten entstehen durch Angriffe (Tendenz steigend)

- Viri infizieren und spreaden immer schneller

- mögliche Folgen: kein Strom/Telefon, hoher Traffic auf Datenlinien

- Auftretende Mängel sofort beheben

- Starke Passwärter verwenden (mehr als 8 Zeichen mit Ziffern und Sonderzeichen)

- Geheimhaltung des Benutzernamens/-passwort

- so wenig Berechtigung wie möglich so viel wie nötig

- Starke Zugangskontrolle (verschiedene Mechanismen)

- Protokollierung und Überwachung des Zugangs

- Kontinuierliche Informationsammlung über sich selbst und andere

- CERT (Sicherheitsinfoaarchiv seit 1988)

- Traditionell: Public Network = gesclossene Systeme werden zentral gewartet und öffentliches Internet ist kein Ziel, weil nur "wertlise" bzw. öffentliche Informationen

- Modern: Dezentralisierung von Public Networks (durch Dereglulierung von Telekommunikationsmarkt), Nutzung des offenen, dezentralisierten und anarchischen Internets durch den Handel. --> Sicherheitsmechanismen sind unumgänglich für moderne Kommunikation und DS

- Sniffing durch Leute ohne Erfahrung

- Sniffing durch Leute mit Erfahrung

- Gezielte Versuche einen ökonomischen Vorteil zu erzielen

- Militär, Handels- oder Industriespionage

- Höhere Gewalt

- HW und SW Fehler

- Menschliches Versagen

Eavesdropping (abhören)

- Masquerading (Vortäuschen einer Identität)

- Wiedereinspielung und Zurückhaltung von Meldungen

- Veränderung von Meldungen (Spoofing)

- Meldungen und Identitäten ändern, hinzufügen oder löschen (Hacking)

- Dienste blockieren (Denial of Service DoS)

- (Man in te middle Attack)

nützt nichts gegen unteren Angriffe (z.B. Mitarbeiter), was 50% der Angriffe ausmacht