Reading...
Play button
Play button
Use LEFT and RIGHT arrow keys to navigate between flashcards;
Use UP and DOWN arrow keys to flip the card;
H to show hint;
A reads text to speech;
157 Cards in this Set
- Front
- Back
|
Ziel der Informationssicherheit?
|
Schutz aller relevanten Informationen einer Organisation oder eines Unternehmens
|
|
|
Wo werden Informationen hauptsächlich gespeichert?
|
Lokaler Computer, Server, Köpfe der Mitarbeiter, etc.
|
|
|
Aufgabe der IS?
(Auch Schutzziele genannt) |
Vertraulichkeit (Confidentiality)
Integrität (Integrity) Verfügbarkeit (Availability) |
|
|
Was ist Vertraulichkeit?
|
Schutz vor unbefugtem Informationsgewinn
|
|
|
Was ist Integrität?
|
Schutz vor unbefugter Modifikation
|
|
|
Was ist Verfügbarkeit?
|
Gewährleistet den befugten Zugriff auf Informationen
|
|
|
Definition Informationssicherheit
|
Schützt die Vertraulichkeit, Integrität und Verfügbarkeit aller relevanten Informationen, die eine Organisation oder ein Unternehmen z.B. in der Form von Papierdokumenten, elektronischen Dokumenten oder als Wissen in den Köpfen von Mitarbeitern besitzt
|
|
|
Wass sind häufige Versäumnisse bei der IS?
|
- Unzureichende Sicherheitsstrategie
- Schlechte Konfiguration der Systeme - Unsichere Vernetzung - Nichtbeachtung von Sicherheitsrichtlinien - Schlechte Wartung von IT-Systemen - Sorgloser Umgang mit Passwörtern - Einbrecher und Elementarschäden |
|
|
Gründe für unzureichende Sicherheitsstrategie?
|
- Sicherheit hat zu geringen Stellenwwert
- Prozesse zur beibehaltung fehlen - Richtlinien nicht Dokumentiert - Kontroll- und Aufklärungsmechanismen fehlen |
|
|
Gründe für schlechte Konfiguration von IT-Systemen?
|
- Rechtevergabe nicht restriktiv genug
- Sicherheitseinstellungen unzureichend genutzt |
|
|
Gründe für unsichere Vernetzung?
|
Sensitive Systeme sind gegen offene Netze unzureichend abgeschottet
|
|
|
Gründe für nichtbeachtung von Sicherheitsrichtlinien?
|
- Mechanismen werden von Anwendern/Admins nicht genutzt
- aus Bequemlichkeit mangels ausreichender Schulung |
|
|
Gründe für schlechte Wartung von IT-Systemen?
|
Verfügbare sicherheits-Updates /-Patches werden nicht (rechtzeitig) eingespielt
|
|
|
Gründe für sorglosen Umgang mit Passwörtern?
|
- werden aufgeschrieben
- werden weitergegeben - werden zu selten geändert - werden zu einfach gewählt |
|
|
Gründe für Einbrecher und Elementarschäden?
|
- leichtes Spiel (gekippte Fenster, unverschlossene Räume, etc.)
- Katastrophen selten aber fatal verlust an Informationen schlimmer als verlust der Hardware |
|
|
Was wirkt "unzureichender IT-Sicherheitsstrategie" entgegen?
|
- Angemessene Berücksichtigung von IT-Sicherheit
- Schrittweises vorgehen - Kontrolle und Aufrechterhaltung |
|
|
Was wirkt "schlechter Konfiguration von IT-Systemen" entgegen?
|
- Nutzung vorhandener Schutzmechanismen
- Flächendeckender einsatz von Virenschutzprogrammen - Zugriffskontrolle |
|
|
Was wirkt "unsicherer Vernetzung" entgegen?
|
- Verwendung einer Firewall
- Restriktion von nach außen angebotenen Daten, Diensten und Programmen - Vorsicht bei Web-Browsern und E-Mail anhängen |
|
|
Was wirkt "nichtbeachtung von Sicherheitsrichtlinien" entgegen?
|
- Sicherheitsvorgaben und - konsequenzen
- Besondere vorsicht bei Wartungs- und Reparaturarbeiten - Ordnung am Arbeitsplatz vermeidet Risiken - Einholung von Expertenrat |
|
|
Was wirkt "schlechter Watung von IT-Systemen" entgegen?
|
- Regelmäßiges Einspielen von Sicherheits-Patches
- Handlungsplan wirkt Vernachlässigung entgegen |
|
|
Was wirkt "sorgloser Umgang mit Passwörtern" entgegen?
|
- Sichere Passwörter
- Bildschirm bei abwesenheit sperren - Wichtige Daten verschlüsselt speichern - Auswahl geeigneter Verschlüsselungstechniken |
|
|
Was wirkt "Einbrechern und Elementarschäden" entgegen?
|
- Notfallpläne
- Regelmäßiges Backup von Daten - Angemessener Schutz gegen Feuer,Überhitzung, Wasserschäden, Stromausfall - Zutrittsschutz - Notebooks nie unbeaufsichtigt lassen |
|
|
Kostenrechnung:
Wert der Infos auf Laptop = 50000€ Wahrscheinlichkeit für Diebstahl = 1% (ohne Sicherung) = 0.05% (mit Sicherung) Lizenz = 100€ pro Jah |
Erwarteter Verlust:
- ohne Sicherung: 0,01*50000€ = 500€ - mit Sicherung: 0,0005*50000€ = 25€ + 100€ = 125€ --> Lohnt sich |
|
|
Was ist eine Schwachstelle?
|
Ein Sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution
|
|
|
Was ist eine Bedrohung?
|
Ein Umstand oder Ereignis, der oder das die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen beeinträchtigen kann
|
|
|
Was ist eine Gefährdung?
|
Eine Bedrohung, die konkret über eine Schwachstelle auf ein Objekt einwirkt
|
|
|
Was ist ein Risiko?
|
Eine Kombination aus der Wahrscheinlichkeit, mit der ein Schaden auftritt, und dessen Ausmaß
|
|
|
Was ist Risikomanagement?
|
Die systematische Erfassung und Bewertung von Risiken sowie die Steuerung von Reaktionen auf festgestellte Risiken
|
|
|
Was ist ein Angriff?
|
Eine vorsätzliche Form der Gefährdung, nämlich einee unrwünschte oder unberechtigte Handlung mit dem Ziel, sich Vorteile zu verschaffen bzw. einenDritten zu schädigen
|
|
|
Wie geht ein typischer Angriffsverlauf?
|
- Pre-Attack
-> Footprinting -> Port Scanning -> Enumeration - Attack -> Exploitation/Penetration -> Payload ausführen - Post-Attack -> Spuren verwischen |
|
|
Was ist Footprinting?
|
- Ziel des Angriffs festlegen (IP-Bereich, IT-Struktur der Firma)
- Techniken (Whois, DNS, Traceroute...) |
|
|
Was ist Port Scanning?
|
- Welche Ports sind offen?
- Techniken (Brute Force, Fragmentet Packet Port Scan, SYN Scan, FIN Scan, Idlescan) |
|
|
Was ist Enumeration?
|
- Einstiegspunkte identifizieren (Anwenderprogramme, OS, ..)
- Techniken (Von Programm / OS abhängig) |
|
|
Was ist Exploitation/Penetration?
|
- Versuch, zugang zum System zu bekommen (Bestenfalls als Admin)
- Technik (Von Programm / OS abhängig) |
|
|
Was ist Payload ausführen?
|
- System wird auf eigentlichen Zweck vorbeteitet (Schadcode, Backdoor, ..)
- Technik (Rootkit, Versteckte Prozese, ...) |
|
|
Was ist Spuren verwischen?
|
- Anti-Forensik, Einträge aus Log-Dateien löschen
|
|
|
Wie läuft der Nmap Scanning Process ab?
|
- DNS-Lookup
- Nmap Ping - Reverse DNS Lookup - Scan |
|
|
Wie funktioniert der TCP SYN Scan?
|
- Sende SYN + Port
- Empfang RST --> Port geschlossen - Empfang SYN/ACK --> Port offen |
|
|
Wie funktioniert der XMAS Tree Scan?
|
- Sende FIN, URG, PUSH + Port
- Empfang RST --> Port geschlossen - Empfang Timeout --> Port offen |
|
|
Wie funktioniert der Idlescan?
|
- Suche Rechner mit möglichst wenig Netzwerkverkehr
- Senden SYN/ACK an Zombie - Empfang RST mit IPID (1. merken) - Sende SYN + Port an Ziel (Als quelle den Zombie spoofen) - Sende SYN/ACK an Zombie - Empfang RST mit IPID (2. merken) - Wurde IPID 2 mal inkerementiert ist port offen, bei 1 mal nicht |
|
|
Was ist ein Schadprogramm?
|
Eine Software, die mit dem Ziel entwickelt wurde, unerwünschte und meistens schädliche Funktionen auszuführen
|
|
|
Was ist ein Computer-Virus?
|
Eine nicht selbstständige Programmroutine, die sich selber reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt
|
|
|
Wie funktioniert ein Computer-Virus?
|
- Sucht nich nicht identifiziertes Programm
- Kopiert sich in den Speicherbereich dieses Programms - Passt Einsprungsadresse des Programms an - Führt schadensteil aus - Führt ursprüngliches Programm aus |
|
|
Besonderheiten des Überschreibenden Virus?
|
- Überschreibt Origginal-Code
- Wirtsdatei wird irreparabel beschädigt |
|
|
Besonderheiten des Companion Virus?
|
- Erzeugt zweite Datei
- Benennt sich wie Original-Datei und benennt original um oder - Benennt sich ähnlich wie Original - Aufruf des Virus führt Virencode aus und springt am ende zu Original |
|
|
Besonderheiten des Appending-Virus?
|
- Schadcode hinter Originalcode
- Änderung der Headerdaten und Adressen nötig - Nach start sprung zu Schadcode, danach sprung zu Programmcode |
|
|
Besonderheiten Prepending-Virus?
|
- Schadcode vor Originalcode
- Originalcode wird verschoben - Änderung Headerdaten/Adressen nötig |
|
|
Besonderheiten EPO-Virus?
|
- Entry Point Obscuring
- Schadcode hinter Originalcode - Einsprung zu Schadcode irgendwo im Originalcde |
|
|
Besonderheiten Boot-Virus?
|
- Sektorgröße beschränkt Virusgrröße
- Kann OS manipulieren |
|
|
Besonderheiten Makro/Daten-Virus?
|
- In Daten-Dokumente eingebettet
- E-Mail attatchment, Postscript, ... |
|
|
Wie versuchen Viren sich selbst zu schützen?
|
- Stealth (existenz durch manipulierte rückgaben verbergen)
- Verschlüsselung (verstecken des Bitmusters vor scannern) - Polymorphie (verschiedene Code-Varianten) - Metamorphie (änderung auf Metasprachebene, dann neu Compilieren) - Retrovieren (Versucht Virenscanner oder Firewall zu deaktivieren) |
|
|
Was ist ein Computerwurm?
|
Ein Schadprogramm, ähnlich einem Virus, die sich selbst reproduzieren und sich durch Ausnutzung der Kommunikationsschnittstellen selbstständig verbreitet
|
|
|
Was ist ein Trojanisches Pferd?
|
ein Programm mit einer verdeckten, nicht dokumentierten Funktion oder Wirkung. Ein Trojanisches Pferd verbreitet sich nicht selbst, sondern wirbt mit der Nützlichkeit des Wirtsprogrammes für seine Installation durch den Benutzer
|
|
|
Welche Angriffe auf Software-Schwachstellen gibt es?
|
- Pufferüberlauf
- Heap-Überlauf - Formatstring--Angriff - SQL-Injection - Cross Site Scripting |
|
|
Wie funktionieren Puffer-Überläufe?
|
- Manche Programmiersprachen erlauben es, Zeichenketten in Felder zu schreiben, ohne die Grenzen zu Prüfen
-Verändert dadurch Programmverhalten (oft absturz) |
|
|
Wie funktionieren Heap-Überläufe?
|
- Speicher auf dem Heap wird angefordert
- Angreifer schreibt mehr in Speicher als reserviert |
|
|
Wie funktionieren Formatstring angriffe?
|
- Programmierer vergisst den formatstring
- Angreifer kann nun den Formatstring eingeben - wenn keine Parameter angegeben, nimmt programm den nächsten Wert vom Stack |
|
|
Wie funktioniert ein SQL-Injection angriff?
|
- Eingabe des Anwenders wird nicht genug kontrolliert
- SQL befehl wird z.B. als Passwort eingegeben - Bsp: ' OR 1=1; # - # sorgt dafür das der rest als Kommentar gesehen wird |
|
|
Was ist Cross Site Scripting?
|
Cross Site Scripting (XSS) injiziert fremde Skripte in Webseiten, die von Benutzern aufgerufen werden.
Es gibt zwei Hauptmethoden non-persistend (reflected): Benutzereingabe wird direkt wieder ausgegeben. persistend (stored): Skript ist z.B. als Parameter eines Links angehangen. |
|
|
Was ist ein Rootkit?
|
Eine Sammlung von Software-Werkzeugen, die nach dem Einbruch auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken
|
|
|
Welche verschiedenen Rechte können Rootkits haben?
|
User-Mode oder Kernel-Mode
Der Kernel-Mode hat die meisten Rechte |
|
|
Wie arbeitern Rootkits?
|
Abhängig von den Rechten des Rootkits fangen sie Rückgaben von Systemaufrufen ab und filtern diese, um z.B eigene Prozesse zu verstecken
|
|
|
Was ist und wie funktioniert ein Drive-By-Download?
|
Bei einem Drive-by-Download gelangt Schadcode allein durch das Anschauen einer präparierten Webseite auf den Client-Rechner.
Eine präparierte Webseite auf einem Webserver wird vom Opfer besucht, dabei wird ein Skript ausgeführt, welches eine Browser-Schwachstelle ausnutzt und sicht ins System einnistet. Weiterer Schadcode kann beliebig nachgeladen werden. |
|
|
Was ist Spyware?
|
Programme, die heimlich, also ohne darauf hinzuweisen, Informationen über einen Benutzer bzw. die Nutzung eines Rechners sammeln und an den Urheber der Spyware weiterleiten
|
|
|
Was ist Adware?
|
Software, dei dem Benutzer zusätzlich zur eigentlichen Funktion Werbung zeigt bzw. Software installiert , welche Werbung zeigt
|
|
|
Welche Angriffstypen kennen Sie?
|
Schadprogramme
Payloads-Varianten Denial-of-Service Sniffing Spoofing Man in the Middle Angriff Passwort-Angriff Social Engineering |
|
|
Was ist Ransomware?
|
Schadsoftware, mit deren Hilfe ein Eindringling eine Zugriffs- oder Nutzungsverhinderung der Daten sowie des gesamten Computersystems erwirkt
|
|
|
Welche Payload-Varianten kennen Sie?
|
Payloads zum Ausführen von Viren und Trojanern
Payloads zur Erreichung von Adminrechten |
|
|
Was ist DoS?
|
Denial of Service ist ein Versuch, die Verfügbarkeit einer Computer-Ressource für ihre legitimierten Benutzer einzuschränken
|
|
|
Was sind die Ziele von DoS?
|
- Bandbreitensättigung
- Ressourcensättigung - Herbeiführen von anstürzen |
|
|
Was ist DDos?
|
- Distributed Denial of Service
- Viele Zombies oder auch Bots attackieren gemeinsam ein Ziel |
|
|
Welche Arten von botnetzen gibt es?
|
- Hirarschich aufbebaut mit master und Slave Bots
- C&C Server (Comand and Control) - Mehrere C&C Server um keinen Single Point of Failure zu haben - P2P Botnetze und Fast-Flux Botnetze |
|
|
Was ist ein Sniffing Angriff?
|
Sind Angriffe, bei denen die Kommunikation zwischen zwei oder mehreren Partnern abgehört wird
|
|
|
Was ist ein Spoofing Angriff?
|
Sind verschiedene Täuschungsversuche in Comupternetzen zur Verschleierung der eigenen Identität
|
|
|
Welche Spoofing-Arten gibt es?
|
- IP
- MAC - ARP - DNS |
|
|
Wie funktioniert IP-Spoofing
|
Versenden von IP-Paketen mit falscher Quell-IP
|
|
|
Wie funktioniert MAC-Spoofing?
|
Versuch, die MAC-Adresse zu ändern (Software) um MAC-Filter zu überlisten
|
|
|
Wie funktioniert ARP Spoofing?
|
- Senden gefälschter ARP-Pakete
- Senden ARP-Replys mit falschen angaben um den traffic an sich selber zu leiten |
|
|
Wie funktioniert DNS-Spoofing?
|
Fälschen von DNS Antworten
Gelingt es dem Angreifer schneller eine Antwort zu senden als der richtige Server, wird seine Antwort akzeptiert So kann der Angreifer das Opfer auf eine falsche Webseite leiten |
|
|
Was ist Pharming?
|
Phishing + Farming
Farming: Serverfarmen mit gefälschen Webseiten Phishing: Versuch, Benutzername und Passwort des Users zu bekommen |
|
|
Was versteht man unter einem Man-in-the-Middle-Angriff?
|
Allg.: Das unbemerkte Manipulieren von Kommunikation zwischen zwei Kommunikationspartnern.
Der Angreifer täuscht den jeweiligen Partnern vor, der erwartete Kommunikationspartner zu sein. Er ändert die Daten, oder liest diese mit und sendet sie dann an den wirklichen Kommunikationspartner weiter. Ein Angriff kann z. B. mittels ARP-Spoofing oder Phishing (Webseite oder WLAN-Accesspoint gefaked) erfolgen. |
|
|
Was ist Passwort Hashing?
|
Passwörter werden typischerweise nicht im klartext sondern mithilfe von kryptografischen Hashfunktionen gespeichert
|
|
|
Was bringt eine Hashfunktion?
|
- Passwort wird gehasht (berechnung einfach)
- Passwort aus Hash errechnen (unvertretbar aufwändig) |
|
|
Was ist Passwort-Cracking?
|
Erlaubt es das Passwort aufgrund von abgefangenen oder gespeicherten Daten zu erlangen
Ansätze sind: - Raten, Dictionary, BruteForce - Rainbow-Tables - Ausnutzen von schwachem hashing |
|
|
Wie funktioniert die berechnung im Voraus?
|
Hashfunktion H
Reduktionsfunktion R Passwort wird mit H gehasht und mit R wieder Reduziert. Dies wird k mal durchgeführt. Gespeichert werden nur das erste und letzte Passwort. Wenn man nun einen Hashwert in der Tabelle suchen möchte, wird dieser mit R reduziert. Ist dieser wert in der Tabelle als letzter wert gespeichert, ist das PW in dieser Kette. Wenn nicht, wird wieder H und R angewandt (bis zu k mal) Wenn nach k durchläufen keit treffer erzielt wirde, ist das Passwort nicht in der Tabelle |
|
|
Was ist Tailgaiting?
|
Teildisziplin des Social Engineering
Das Aushebeln von Zugriffsberechtigungen z.B. durch Nutzung der ID des Arbeitskollegen |
|
|
Was macht Kryptografie?
|
Die Kryptografie untersucht und entwickelt Verfahren, mit denen ungesicherte Klartexte (plaintext) in für unautorisierte Instanzen nicht lesbare Schlüsseltexte (cyphertext) transformiert werden können.
|
|
|
Was ist Kryptanalyse?
|
Kryptanalyse bezeichnet die Wissenschaft der Rückgewinnung des Klartextes aus einem Schlüsseltext ohne Kenntnis des verwendeten Schlüssels.
|
|
|
Was sind die Hauptanwendungen der Kryptographie im Bereich Sicherheit?
|
Verschlüsselung von Daten (--> Vertraulichkeit)
--> Transformation eines Klartextes in Schlüsseltext --> Inverse: Entschlüsselung -->Alternative Bezeichnung: Chiffrierung/Dechiffrierung Signieren von Daten (--> Integrität) --> manipulationssichere Berechnung eines Prüfwertes --> mit SIgnaturprüfung kan nermittelt werden, ob Daten nach Erzeugung und Signierung verändert wurden. --> Achtung: Hier ist nicht die digigtale Unterschrift gemeint. Verschlüsselung impliziert häufig die Integrität und die Authentizität einer Nachricht |
|
|
Was für Kryptografischen Algorithmen gibt es?
|
Symmetrische kryptografische Algorithmen
Asymmetrische kryptografische Algorithmen Kryptografische Hashfunktionen Als Erweiterung von symmetrischen Algorithmen bzw. kryptografischen Hashfunktionen auch: Message Authentication Codes (MAC) |
|
|
Was gilt für symmetrische kryptografische Algorithmen?
|
Beide Parteien verwenden EINEN (gemeinsamen) Schlüssel
|
|
|
Was gilt für asymmetrische kryptografische Algorithmen?
|
Es gibt zwei Schlüssel (Schlüsselpaar)
Hiervon ist ein Schlüssel privat, der andere öffentlich. Informationen werden mit dem öffentlichen Schlüssel verschlüsselt und mit dem privaten entschlüsselt. |
|
|
Was gilt für kryptographische Hashfunktionen?
|
Verwenden keinen Schlüssel
--> h(x) erfüllt folgende Bedingungen ----> Kompression ------> h(x) bildet Eingabe x beliebiger Länge auf feste Bitlänge ab ----> Einfachheit der Berechnung -----> h(x) kann mit geringem Aufwand berechnet werden ----> Einwegfunktion (Unbestimmtheit von Urbildern) -----> zu gegebenen Hash-Wert y ist Urbild x mit h(x) = y nur mit unvertretbar hohem Aufwand zu berechnen ----> schwache Kollisionsresistenz (Unbestimmbarkeit 2. Urbild) -----> zu gegebenem Urbild x darf mit vertretbarem Aufwand kein von x verschiedenes Urbild x‘ zu finden sein mit h(x) = h(x‘) ----> starke Kollisionsresistenz -----> es ist nur mit unvertretbar hohem Aufwand möglich, zwei verschiedene Urbilder x und x‘ zu finden, mit h(x) = h(x‘) (im Unterschied zur schwachen Kollisionsresistenz dürfen hier die beiden Werte x und x‘ frei gewählt werden) |
|
|
Was macht "Message Authentication Codes" ?
|
Verwenden einen Schlüssel
Erzeugt einen Prüfwert für eine Nachricht unter Benutzung eines (geheimen), symmetrischen Schlüssels |
|
|
Welche Analysemethoden der Kryptanalyse gibt es?
|
Brute-Force Attack
--> Suche den Schlüsselraum ab, bis ein sinnvoller Klartext gefunden. Known-Ciphertext Analysis --> mehrere Schlüsseltexte C1, C2 für einen Schlüssel K sind bekannt. Known-Plaintext Analysis --> Klartext-Schlüssel-Paare (P1,C1), (P2,C2) für Schlüssel sind bekannt. Chosen-Plaintext Analysis --> Klartext-Schlüsseltext (P1,C1), (P2,C2), ... für Schlüssel K bekannt. --> Klartext P1, P2 dürfen dabei vorher gewählt werden. Chosen-Ciphertext Analysis --> Klartext-Schlüsseltext-Paare (P1,C1), (P2,C2), ... für Schlüssel K bekannt --> Schlüsseltexte C1,C2, .. dürfen vorher gewählt werden. |
|
|
Was sind unbreakable Codes?
|
Codes, die aufgrund ihrer mathematischen Eigenschaften nicht zu knacken sind. (Auch ein Brute-Force!!)
Beispiel: "One-Time-Pads" (Einwegcodes) |
|
|
Was ist Kryptologie?
|
Kryptologie = Kryptografie + Kryptanalyse
|
|
|
Wie lauten die drei Schritte der Zugriffskontrolle?
|
Identifizierung
Authentisierung Autorisierung |
|
|
Was ist Identifizierung?
|
Subjekt stellt Informationen bereit, um sich bei
einem Authentisierungsdienst zu identifizieren Zur Identifikation wird öffentlicher Informationsteil übergeben, z.B. Richtiger Name, Username, Kontonummer Ergebnis der Identifizierung Zugriffskontroll-Instanz weiß, welche Identität das Subjekt vorgibt zu haben. |
|
|
Was ist Authentisierung?
|
Schritt zur Überprüfung der Identität eines Objekts
Begriffliche Unterscheidung: Authentisierung: Subjekt weißt seine Identität aus Authentifizierung: Instanz überprüft Identität eines Subjekts |
|
|
Was ist Autorisierung?
|
Kontrollinstanz ist nach Authentifizierung von Identität des Subjekts überzeugt.
--> erfolgt auf Basis der Regeln und Ziele der Sicherheitsrichtlinie der Organisation --> kann auf verschiedene Arten und Weisen durchgsetzt werden (==> Zugriffskontrollmodell) |
|
|
Was ist Authentifisierung durch Biometrie?
|
Überprüfung der Identität eines Benutzers anhand fast unveränderlicher Merkmale
Vergleicht z.b. anhand der Iris oder des Fingerabdrucks |
|
|
Wie wird die Genauigkeit biometrischer Systeme beschrieben?
|
Es gibt zwei Werte:
Falsche Rückweisungsrate (false rejection rate, FRR) Falsche Akzeptanzrate ( false acceptance rate, FAR) Diese Werte werden durch (konfigurierbare) Empfindlichkeit des Systems beeinflusst (Entscheidugnsschwellwert) |
|
|
Wie funktioniert die FIngerabdruckerkennung?
|
Aufnahme des Fingerabdrucks (z.B. mit Kamera) oder kapazitivem Sensor
Bildbearbeitungssoftware sucht, vermisst und markiert die Minutien (Gabelungen, Schleifen; Wirbel, ... ) Berechnung der Templates aus den Markierungen |
|
|
Welche Biometrische Authenfisierungsmöglichkeiten kennen Sie?
|
Finger, Iris, Gesicht
|
|
|
Wie lauten die Regeln für sichere Passwörter?
|
Mindestens 8 Zeichen lang
Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen Lebensdauer: kurz aber noch praktikabel Wiederverwendung nicht erlaubt (history) Schwellwert für erfolglose Anmeldeversuche Protokollierung von Anmeldeversuchen mit Datum, Zeit, Benutzer und Rechner Passworte persönlich (kein Weitergeben) Nicht leicht zu erraten; nicht aus Wörterbuch |
|
|
Was sind wissensbasierte Passwörter?
|
Passwörter, die auf Tatsachen oder Meinungen beruhen.
Beispiel: Mädchenname der Mutter Name des Haustieres? Geburtsstadt? --> Leicht zu erinnern --> je nach Frage, für den Angreifer schwer zu entdecken. Oft verwendet um beim Helpdesk zu authentifizieren. |
|
|
Was sind einmal-Passwörter?
|
Ein Einmal-Passwort ist eine Zeichenfolge, die
genau ein einziges Mal zum Nachweis der Identität verwendet wird Server verfügt über gleiches Einmal-Passwort Beispiele TAN beim Online-Banking Freischaltcodes, z.B. bei Prepaid-Refill, Gutscheinen, ... Unterschiedliche Verteilungsmethoden Gedruckte Liste Einmaliges Zusenden (Email, SMS) Generierung in --> Security Token |
|
|
Authentisierung durch Besitz?
|
Benutzer beweist Identität durch Präsentation von etwas, das nur er/sie im Besitz haben kann
Weitere Beispiele: --> Mitarbeiterausweis --> Bankkarte --> Handy --> kryptographischer Schlüssel auf Festplatte Als Einfaktor-Authentisierung unsicher --> wird der entsprechende Gegenstand gestohlen, kann ihn jeder benutzen --> Beispiel: (physikalischer) Schlüssel --> deshalb oft in Kombination mit anderem Faktor |
|
|
Was ist ein Security Token?
|
Ein (Security) Token ist eine
Hardwarekomponente als Teil einer Authentisierungslösung speichert Schlüssel oder generiert Einmal-Passwort Oft durch zweiten Faktor gegen Missbrauch geschützt, z.B. PIN, biometrie --> In Kombination meist sehr sicher. |
|
|
Was ist eine SmartCard?
|
Smartcards sind spezielle Plastikkarten mit eingebautem integriertem Schaltkreis (Chip)
|
|
|
Wofür sind die BSI Standarrds 100-1 bis 100-4?
|
100-1: Managementsysteme für Informationssicherheit (ISMS) --> Allgemeine Anforderungen
100-2: IT-Grundschutz-Vorgehensweise --> Genaue anleitung wie ISMS Aufgebaut und betrieben wird 100-3: Risikoanalyse auf Basis von IT-Grungschutz --> Zusätzliche Sicherheitsanalyse 100-4: Notfallmanagement --> Methodik zur etablierung und erhaltung einer organisationsweiten Notfallmanagements |
|
|
Was sind die 4 Komponenten eines ISMS?
|
Sicherheitsprozess
Ressourcen Mitarbeiter Managementprinzipien |
|
|
Aus welchen Lebenszyklen besteht der Sicherheitsprozess?
|
- Planung
- Umsetzung - Erfolgskontrolle - Verbesserung (PDCA Modell --> Plan, Do, Check, Act) |
|
|
Was sind die Managementprinzipien?
|
Aufgaben und Pflichten der "Leitungsebene"
Aufrechterhaltung der Informationssicherheit und kontinuierliche verbesserung Kommunikation (Berichte, Dokumentation, Informationsfluss) |
|
|
Was sind die Ressourcen eines ISMS?
|
Personal, Zeit und Geld
|
|
|
Welche Mitarbeiter werden bei einem ISMS eingebunden?
|
Alle
|
|
|
Was ist der unterschied zwischen BSI 100-1 und 100-2?
|
100-1 Beschreibt generelle Methoden, wobei 100-2 eine konkrete Hilestellung zur Einführung eines ISMS ist
|
|
|
Welche Komponenten gehören zur Erstellung einer Leitlinie beim IT-Grundschutz?
|
Übergreifende Ziele, Stellenwert der Informationsverarbeitung, Detailziele, Verbesserung der Sicherheit, Sicherheitsmanagement, Sicherheitsmaßnahmen
|
|
|
Welche Schritte gehören zur Initiierung des Sicherheitsprozesses?
|
Verantwortung der Leitungsebene
Konzeption und Planung Erstellung einer Leitlinier Zur Informationssicherheit Aufbau einer Informationssicherheitsorganisation Bereitstellung von Ressourcen Einbindung aller Mitarbeiter |
|
|
Wie ist der Zusammenhang zwischen Aufwand und Sicherheit?
|
Logarithmisch, Mit wenig aufwand kann eine normaler schutz gewährleistet werden (IT-Grundschutz), mit mehr aufwand etwas besserer Schutz, aber selbst mit beliebig großem Aufwand kann keine 100% Sicherheit erreicht werden
|
|
|
Welche 4 Schritte werden im BSI 100-2 abgearbeitet?
|
Initiierung des Sicherheitsprozesses
Erstellung einer Sicherheitskonzeption Umsetzung der Sicherheitskonzeption Aufrechterhaltung und Verbesserung |
|
|
Welche Schritte geören zur erstellung einer Sicherheitskonzeption?
|
Strukturanalyse
Feststellung des Schutzbedarfs Modellierung des Verbundes, Basis Sicherheitscheck Ergänzende Sicherheitsanalyse Konsolidierung der Maßnahmen Basis Sicherheitscheck (Teil 2) Realisierung der Maßnahmen |
|
|
Welche Schritte gehören zur Umsetzung der Sicherheitskonzeption?
|
Sichtung der Untersuchungsergebnisse
Konsolidierung der Maßnahmen Kosten- und Aufwandsschätzung Festlegung der Umsetzungsreihenfolge der Maßnahmen Festlegung der Verantwortlichkeit Realisierungsbegleitende Maßnahmen |
|
|
Welche Schritte gehören zur Aufrecherhaltung und Verbesserung?
|
IT-Sicherheitsbeauftragter muss:
Sicherheitsprozess aufrecht erhalten Umsetzung Kontrollieren Einhaltung der Richlinien überwachen |
|
|
Wie läuft die BSI Zertifizierung ab?
|
Nach Umsetzung Zertifizierung für 3 Jahre (Jährliche Audits)
Zwei vorstufen Möglich: Einstiegsstufe und Ausbaustufe Jeweils 2 Jahre gültig, kann nicht verlängert werden |
|
|
Welche Arten von Notfällen gibt es?
|
Störung, Notfall, Krise, Katastrophe
|
|
|
Wie läuft der Notfallmanagementprozess ab?
|
Initiierung des Notfallmanagements
Konzeption Umsetzung Notfallbewältigung Tests und Übungen Aufrechterhaltung und Verbesserung |
|
|
Welche Modelle zur Zugriffskontrolle gibt es?
|
Benutzerbestimmt (Discretionary Access Control, DAC)
Systembestimmt (Mandatory Access Control, MAC) Rollenbasiert (Role Based Access Control, RBAC |
|
|
Wer vergibt beim Discretional Access Control die Rechte?
|
Der Besitzer einer Datei
|
|
|
Was sind die Merkmale des Mandatory Access Control?
|
Vertraulichkeitsstufen, Lesen nur Eigene und geringere, Scheiben nur Eigene und eventuell höhere Stufe
Eventuell noch Unterteilung in Kategorien um genauer zu trennen |
|
|
Was sind die Merkmale des Role-Based Access Control?
|
Benutzer in Gruppen einteilen, Rechtevergabe an Gruppen
|
|
|
Was ist einfacher: Existenz oder nichtexistenz von Malware beweisen?
|
Existenzbeweis: Finde eine Datei die befallen ist
Nichtexistenzbeweis: Zeige, das Malware nicht existiert (Sehr schwer, durch eventuelle Rootkits weiter erschwert |
|
|
Wie funktionieren Anti-Malware Programme?
|
Signaturen erkennen, Heuristiken (Signatur mid Wilcards für Variationen), Sandbox (Verhalten von Software in sicherrer Umgebung analysieren), Verhaltensanalyse
|
|
|
Was ist NAC?
|
Network Access Control
Kontrolliert, ob System sicher ist (neuste Virensignaturen, Patch-Level, ... |
|
|
Wie prüft NAC das System?
|
Zwei Wege: Agant auf dem System oder ohne zusätzliche Software
Agent liefert erforderliche Daten an NAC-System Ohne Agenten prüft ein Scanner des NAC so gut es von aussen kann |
|
|
Welche Dienste liefert SSH?
|
Authentizität (Instanen und Nachrichten)
Verschlüsselung Integrität |
|
|
Wie ist SSH aufgebaut?
|
Client-Server Ansatz
Server vom Systemadmin betrieben Client als Programm um als Benutzer anfragen an Server zu stellen |
|
|
Welche 3 SSH Protokolle gibt es und vozu dienen sie?
|
SSH-AUTH --> Client Authentifizierung, Passwortwechsel
SSH-CONN --> Verbindungsprotokoll SSH-TRANS --> Aushandlung Alogrithmen, Schlüsselaustausch, Server-Auth, Komprossion, Verschlüsselung, Integrität |
|
|
Welche Algorithmen werden bei der Aushandlung genommen?
|
Listen werden ausgetascht, wähle das erste Protokoll von der Clientliste, das der Server auch unterstützt
|
|
|
Welche Dienste liefert SSL?
|
Authentizität, Verschlüsselung, Nachrichten-Authentizität und Integrität
|
|
|
Wie verwaltet SSL Sitzungen und Verbindungen?
|
Zuerst wird eine Sitzung eingerichtet, die dann eine Verbindung aufbaut
|
|
|
Anwendungsprotokolle für SSL
|
HTTP, FTP, POP3, LDAP, SMTP
|
|
|
Was ist VPN?
|
Ein Virtuelles Privates Netz ist ein Netz, das physisch innerhalb eines anderen Netzes (oft das Internet) betrieben wird, jedoch logisch von diesem getrennt ist
|
|
|
Welche VPN Tunnelvarianten gibt es?
|
Host-to-Gateway, Home Office -> Firma
Gateway-to-Gateway, zwischen Firmenstandorten Host-to-Host, PC mit Server |
|
|
Unterschied Bridged / Routing
|
Auf der Sicherungsschicht --> Bridge-Modus (TAP)
Ein großes Subnetz Auf Netzwerkschicht --> Rputing-Modus (TUN) Eigenes Subnetz zwischen Routern |
|
|
Protokolle bei VPN
|
PPTP, OpenVPN, IPsec
|
|
|
Wat is ne Firewall?
|
Eine Firewall ist ein System aus Software- und Hardware-Komponenten, die einen Rechner oder ein internes Netz sicher an das öffentliche Internet koppeln soll.
Kann Netzwerk-Firewall oder Rechner-Firewall sein "Personal Firewall" |
|
|
Welche Technologien können Firewalls ?
|
zustandslose Paketfilter
zustandsbasierte Paketfilter Anwendungs-Gateway |
|
|
Was können zustandslose Filter? Was ist das?
|
Überwachugnsrouter
Entscheidet, ob ein ankommendes Paket herein darf Entscheidet, ob ein abgesendetes Paket raus darf Entscheidung basiert auf Informationen aus: Quell/Ziel-IP Portnummern TCP SYN und ACK Bits |
|
|
Wie funktioniert win Zustandsbasierter Paketfilter?
|
Merkt sich den Zustand jeder TCP-Verbindung
Liest den Aufbau (SYN) und Abbau (FIN) Bewertet Sinn der Pakete Timeout für inaktive Verbindungen |
|
|
Wie ist eine ACL aufgebaut?
|
I/F --> intern/extern
Richtung --> inbound/outbound Aktion --> Erlaube/Verbiete Quell-IP --> (alle/IP/Netz) Ziel-IP --> (alle/IP/Netz) Protokoll --> (TCP/UDP/alle) Quellport --> (<1234/>1234/alle/1234) Zielport --> (<1234/>1234/alle/1234) Flags --> (egal/ACK/---/alle) Verbindungscheck --> (---/X) |
|
|
Was ist ein Anwendungsgateway?
|
Z.B. Proxyfilter, Dual-Homed, oftmals für jedes Protokoll ein eigenes Gateway
|
|
|
Was ist ein IDS und IPS?
|
Intrusion Detection ist der Prozess der Überwachung von Ereignissen, die auf einem Rechner oder in einem Netzwerk passieren, und deren Untersuchung hinsichtlich möglicher Sicherheitsvorfälle
Ein Intrusion Detection System (IDS) ist Software, die diesen Prozess automatisiert Ein Intrusion Prevention System (IPS) ist Software mit der Funktionalität eines IDS, das aber zusätzlich versucht, Sicherheitsvorfälle zu stoppen |
|
|
Die IDS Typen?
|
Network-Based IDS
Host-Based IDS Wireless IDS Network Behavior Analysis IDS |
|
|
Welche Erkennungsmethoden verwenden IDS?
|
Muster-basierte Erkennung
Anomalie-basierte Erkennung Zustandsanalyse von Protokollen |
|
|
Welche Probleme können bei IDS auftreten?
|
Die Erkennung ist nicht immer akkurat.
Es gibt Grenzen der Erkennung -> verschlüsselte Daten -> Menge zu viel -> Angriff auf IDS |
