Informatik für Ökonomen II

eine Massnahme gegen Bedrohung:

- basierend auf Kryptographie: Authentication, Datensicherheit (Integrity und Confidentality), Ver- und Entschlüsselung, Schlüsselaustausch, Non-repudioation

- ohne Kryptographie: Access Control (Zugangskontrolle des Art des sich anmeldenden Objekts (Mensch oder Maschine) und dessen Herkunft), Intrusion Detecions (Eindringlingserkennung), Zudem auch physische Personelle Sicherheit

- nach ISO Standards

- Besitz: physischer Ausweis (Pass oder ID) Kreditkarte, etc.

- Wissen/Kenntnis: Passwort und Benutzername, SIcherheitsfrage, etc.

- Bimetrik: Fingerabdruck, Irisscan

- Kontext: George Clooney wird erkannt ohne Ausweis

- Können: persönliche Unterschrift

- Für Datenpaete: Hinzufügen einer Zahlenreihe um die Reihenfolge zu gewährleisten; Hinzufügen einer MAC oder Signatur

- Für Systeme und Benutzer: Einwegpassworte (eBanking Passwortliste), Zeitpassworte (eBankung Dongle), Biometrische Verfarhren, Anmeldung mittels MAC oder öffentlichem Schlüssel 

- Generell gilt: je mehr Mechanismen seriell (nacheinander) zur Anwendung kommen, desto sicherer (Bsp.: 2-Faktoren: EC-Karte und PIN, Kreditkarte und Unterschrift, Benutzername und Passwort, etc.; 3-Faktoren: Benutzername und Passwort und FIngerabdruck, etc.)

- Kryptographische Hash Funktion ( Message Digest Code (MDC)) verdaut eine Nachricht und gibt zugehörigen Wert aus F(x) = y; F(x) darf nicht invertierbar sein, sollte schnell berechnet werden können, Hash sollte mindesten 128 Bits lang sein, Verfahren MD5, SHA-1, RIPEMD-160

- Schlüsselabhängige Hashfunktion (MEssage Autentication Code, MAC F(x,k) = y, wobei k der schlüssel ist; kann manchmal anhand MDC jonstruiert werden, Verfahten: HMAC (RFC 2104), HMAC-MD5

- Vertraulichkeit versus Staats- und UNternehmenssicherheit

- Sicherheit versus Benutzerfreundlichkeit

- Nicht-Zurückweisbarkeit versus Beweise

- Verlistsicherheit versis Datensicherheit

- DoS versus SIcherung vor Eindringlingen

- Unvollständige SIcherheit besser als keine Sicherheit besser als falsche Sicherheit

- symmetrisch durch ein Key Distribution Center (KDC); KDC kennt alle Schlüssel der Benutzer und Services, KDC verteilt authentifizierten Benutzer einen temporären Sessionkey

- asymmetrisch; mit einem beliebigen Public Key Algorithmus, Schlüsseltausch abierend auf Diffie(Hellman(DH)Algorithmus (sehr sicher, benötigt eine Benutzerauthentifizierung, es müssen mindestens 3 Nachrichten übermittelt werden, sinnlos bei kurzen Nachrichten)

SIent zur sicheren Administration von Servern (im Gegensatz zu Telnet, was unsicher ist)

Dienen zur sicheren Datenübertragung für Internetdienste

- Bridging-Firewall

- Routing-Firewall

- Proxy-Firewall

- organisationale Sicherheit durch TTP

- technische Sicherheit durch ALgorithmen, Mechanismen, etc.

- sicheres Benutzerverhalten durch regelmässigen Passwortwechsel

- Alle drei zusammen bilden die INformtaionssicherheit bzw. Informtaionssystemsicherheit

- sehr populärer Authentifizierungsmechanismus

- sehr unsicher, da Menschen oft schwache Passwörter verwenden (Geburtstage, Name der Freundin

können im Gegensatz zu einer Unterschrift nicht die Echtheit beweisen

- Verschiedene sichere Verfahren Passwörter zu verwalten

- One-Time-Passwörter

Morris and Thompson: zu jedem Passwort gehört eine Zufallsnummer, diese wird bei jedem PW-Wechsel auch gewechselt;Zufallsnummer und PW sind verschlüsselt gespeichert, das erhöht die Anzahl möglicher Passworte un 2^(Anzahl Ziffern der Zufallsnummer)

- Singele Singn-On: einmalige Authentifizierung für alle Dienste

1. Authentifizierung

2. Authorisierung

3. Accounting/Protookollierung

- Standartisierte durch IETF

- durch RADIUS/Dieameter Protokolle

- starke Zunahme von Angriffen in den letzten Jahren

- hohe Kosten entstehen durch Angriffe (Tendenz steigend)

- Viri infizieren und spreaden immer schneller

- mögliche Folgen: kein Strom/Telefon, hoher Traffic auf Datenlinien

- Auftretende Mängel sofort beheben

- Starke Passwärter verwenden (mehr als 8 Zeichen mit Ziffern und Sonderzeichen)

- Geheimhaltung des Benutzernamens/-passwort

- so wenig Berechtigung wie möglich so viel wie nötig

- Starke Zugangskontrolle (verschiedene Mechanismen)

- Protokollierung und Überwachung des Zugangs

- Kontinuierliche Informationsammlung über sich selbst und andere

- CERT (Sicherheitsinfoaarchiv seit 1988)

- Traditionell: Public Network = gesclossene Systeme werden zentral gewartet und öffentliches Internet ist kein Ziel, weil nur "wertlise" bzw. öffentliche Informationen

- Modern: Dezentralisierung von Public Networks (durch Dereglulierung von Telekommunikationsmarkt), Nutzung des offenen, dezentralisierten und anarchischen Internets durch den Handel. --> Sicherheitsmechanismen sind unumgänglich für moderne Kommunikation und DS

- Sniffing durch Leute ohne Erfahrung

- Sniffing durch Leute mit Erfahrung

- Gezielte Versuche einen ökonomischen Vorteil zu erzielen

- Militär, Handels- oder Industriespionage

- Höhere Gewalt

- HW und SW Fehler

- Menschliches Versagen

Eavesdropping (abhören)

- Masquerading (Vortäuschen einer Identität)

- Wiedereinspielung und Zurückhaltung von Meldungen

- Veränderung von Meldungen (Spoofing)

- Meldungen und Identitäten ändern, hinzufügen oder löschen (Hacking)

- Dienste blockieren (Denial of Service DoS)

- (Man in te middle Attack)