Vorlesung 4: 13.01weber-vorlesung.de/Datensicherheit_04.pdf · Datensicherheit 4-2 13.01.2020 Heiko...

Datensicherheit

Vorlesung 4: 13.01.2020

Wintersemester 2019/2020 h_da

Heiko Weber, Lehrbeauftragter

Datensicherheit 13.01.20204-2 Heiko Weber

Teil 2: DatensicherheitThemenübersicht der Vorlesung

1. Einführung / Grundlagen der Datensicherheit / Authentifizierung

2. Kryptografie / Verschlüsselung und Signaturen mit PGP und S/MIME

3. Netzwerksicherheit / TLS / Softwaresicherheit

4. Softwaresicherheit / Malware / Firewalls / Phishing

5. Einführung in den Datenschutz / Privatsphäre / Anonymität

6. DSGVO / BDSG / Technische und organisatorische Maßnahmen

7. Evaluation / Was ist sichere Software? / Hacking / Live-Hacking

x. Beispielklausur durchgehen / Wiederholung


• Schwachstelle (Weakness)ein Software-Fehlertyp, der in gewissen Situationen zu einer Verwundbarkeit der Software führen kann

• Verwundbarkeit (Vulnerability)das Auftreten einer oder mehrerer Schwachstellen in einer Software, in der diese Schwachstelle genutzt werden kann, um ein Fehlverhalten hervorzurufen

• Offenlegung (Exposure)das Auftreten einer oder mehrerer Schwachstellen in einer Software, die Informationen oder Funktionen offenlegen, die einen Angriff auf ein System erleichtern

• Auswirkung (Impact)das Ergebnis, welches eine erfolgreich ausgenutzte Verwundbarkeit in einer Software haben kann

Terminologie (Wiederholung)


CWE Top 25 Most Dangerous Software Errors

• https://cwe.mitre.org/top25/

• “CWE Top 25 Most Dangerous Software Errors” ist eine Liste der meistverbreitetsten und kritischsten Schwachstellen, die zu schwerwiegenden Verwundbarkeiten in Software führen können

• diese Schwachstellen sind üblicherweise einfach zu finden und leicht auszunutzen und sind gefährlich, weil sie den Angreifer_innen häufig ermöglichen ein System zu kapern, Daten zu klauen oder sie verhindern können, dass ein System normal funktioniert


1. CWE-119Improper Restriction of Operations within the

Bounds of a Memory Buffer

2. CWE-79

Cross-site Scripting

3. CWE-20

Improper Imput Validation

4. CWE-200

Information Exposure

5. CWE-125

Out-of-bounds Read

6. CWE-89

SQL Injection

7. CWE-416

Use After Free

8. CWE-190

Integer Overflow or Wraparound

9. CWE-352

Cross-SiteRequest Forgery

10. CWE-22

Path Traversal

11. CWE-78

OS Command Injection

12. CWE-787

Out-of-bounds Write

13. CWE-287

Improper Authentication

14. CWE-476

NULL Pointer Dereference

15. CWE-732Incorrect Permission

Assignment for Critical Resource

16. CWE-434

Unrestricted Upload of File with Dangerous Type

17. CWE-611

Improper Restriction of XML External Entity Reference

18. CWE-94

Code Injection

19. CWE-798

Use of Hard-coded Credentials

20. CWE-400 Uncontrolled Resource

Consumption

21. CWE-772

Missing Release of Resource after Effective Lifetime

22. CWE-426

Untrusted Search Path

23. CWE-502

Deserialization of Untrusted Data

24. CWE-269

Improper Privilege Management

25. CWE-295

Improper Certificate Validation

CWE Top 25 Most Dangerous Software Errors – Version 2019




2. CWE-79


3. CWE-20


4. CWE-200


5. CWE-125

Out-of-bounds Read

6. CWE-89

SQL Injection

7. CWE-416

Use After Free

8. CWE-190


9. CWE-352


10. CWE-22

Path Traversal

11. CWE-78


12. CWE-787

Out-of-bounds Write

13. CWE-287


14. CWE-476




16. CWE-434


17. CWE-611


18. CWE-94

Code Injection

19. CWE-798



Consumption

21. CWE-772


22. CWE-426


23. CWE-502


24. CWE-269


25. CWE-295



siehe Vorlesung 3




2. CWE-79


3. CWE-20


4. CWE-200


5. CWE-125

Out-of-bounds Read

6. CWE-89

SQL Injection

7. CWE-416

Use After Free

8. CWE-190


9. CWE-352


10. CWE-22

Path Traversal

11. CWE-78


12. CWE-787

Out-of-bounds Write

13. CWE-287


14. CWE-476




16. CWE-434


17. CWE-611


18. CWE-94

Code Injection

19. CWE-798



Consumption

21. CWE-772


22. CWE-426


23. CWE-502


24. CWE-269


25. CWE-295



siehe Vorlesung 3




2. CWE-79


3. CWE-20


4. CWE-200


5. CWE-125

Out-of-bounds Read

6. CWE-89

SQL Injection

7. CWE-416

Use After Free

8. CWE-190


9. CWE-352


10. CWE-22

Path Traversal

11. CWE-78


12. CWE-787

Out-of-bounds Write

13. CWE-287


14. CWE-476




16. CWE-434


17. CWE-611


18. CWE-94

Code Injection

19. CWE-798



Consumption

21. CWE-772


22. CWE-426


23. CWE-502


24. CWE-269


25. CWE-295




CWE-20: Improper Input Validation(unvollständige Eingabeüberprüfung)

• https://cwe.mitre.org/data/definitions/20.html

• Wenn Software die Eingabewerte nicht vollständig überprüft, können im Rahmen eines Angriffs Daten an die Anwendung geschickt werden, die so nicht erwartet wurden in den Bereichen, wo die Daten verarbeitet werden. Dies kann dazu führen, dass das System mit diesen Daten nicht umgehen kann und es zu Veränderungen im Kontrollfluss der Anwendung kommt, Kontrolle über beliebige Ressourcen erreicht oder beliebiger Code ausgeführt werden kann.

• kann sich auf folgende Schutzziele auswirken:• Vertraulichkeit• Integrität• Verfügbarkeit

https://cwe.mitre.org/data/definitions/20.html


Schwachstellen, die zu CWE-20 gehören

• aus den Top 25:• CWE-89: SQL Injection

• CWE-78: OS Command Injection

• CWE-125: Out-of-bounds Read

• CWE-127: Out-of-bounds Write

• CWE-79: Cross-site Scripting

• CWE-502: Deserialization of Untrusted Data

• CWE-190: Integer Overflow or Wraparound

• CWE-426: Untrusted Search Path

• weitere interessante:• CWE-73: External Control of File Name or Path

• CWE-99: Resource Injection

• CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers

• CWE-158: Improper Neutralization of Null Byte or NUL Character


CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

• Die Anwendung konstruiert einen Teil oder eine komplette SQL-Anweisung basierend auf Eingabewerten, ohne spezielle Teile der Eingabewerte zu neutralisieren, welche die beabsichtigte SQL-Anweisung verändern könnten, wenn sie an die Datenbank geschickt wird.

• Datenbankanfragen können manipuliert werden

• beliebige Daten können- aus der Datenbank gelesen werden- in die Datenbank geschrieben werden- aus der Datenbank gelöscht werden

Mögliche Auswirkungen Schutzziel verletzt

Daten lesen Vertraulichkeit

Schutzmechanismus umgehen Zugriffskontrolle

Daten verändern Integrität


CWE-89: Beispiel

• lade die Adresse für User, die öffentlich sind (Wert public auf 1 steht)

PHP Beispiel:

…$name = $_REQUEST["name"];$query = "SELECT address FROM users WHERE public=1 AND name='".$name."' ORDER BY name";$result = mysql_query($query);…


CWE-89: Beispiel


PHP Beispiel:

Eingabewert: Heiko

where: public=1 AND name='Heiko'

gibt nur die Infos zu Heiko aus, wenn sie öffentlich sind



CWE-89: Beispiel


PHP Beispiel:

Eingabewert: x' OR public=0 OR name='Heiko

where: public=1 AND name='x' OR public=0 OR name='Heiko'

gibt auch die Infos zu Heiko aus, wenn sie privat sind



CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

• Die Anwendung konstruiert einen Teil oder einen kompletten Betriebssystemaufruf basierend auf Eingabewerten, ohne spezielle Teile der Eingabewerte zu neutralisieren, die den beabsichtigten Betriebssystemaufruf verändern könnten, wenn er ausgeführt wird.

• Betriebssystemaufrufe können manipuliert werden

• beliebige Befehle können auf der Kommandozeile aufgerufen werden

Mögliche Auswirkungen Schutzziel verletzt

unzuverlässiges Ausführen von BefehlenDoS: crash / exit / restartDaten verändernDaten lesenAktivitäten verbergen

VertraulichkeitIntegritätVerfügbarkeitNichtabstreitbarkeit


CWE-78: Beispiel

• erhalte den Username und zeige die Daten des Users an

PHP Beispiel:

…

$userName = $_POST["user"];

$command = 'ls -l /home/' . $userName;

system($command);

…


CWE-78: Beispiel


PHP Beispiel:

Eingabewert: Heiko

Befehl: ls -l /home/Heiko

zeigt die Dateien im Home-Verzeichnis des Users Heiko

…



system($command);

…


CWE-78: Beispiel


PHP Beispiel:

Eingabewert: ../etc

Befehl: ls -l /home/../etc

zeigt die Dateien im etc-Verzeichnis mit allen Konfigurationsdateien

…



system($command);

…


Mögliche Mitigationen gegen CWE-20-Schwachstellen

• Mitigation = Entschärfung – eine Maßnahme, um potentielle Schwachstellen zu verhindern oder deren Auswirkung zu reduzieren

• Eingabeüberprüfung• einheitliche Eingabeüberprüfungssysteme einsetzen• nur gültige Werte zulassen (White Lists)

● nur auf ungültige Werte überprüfen, wenn die Liste der gültigen nicht überprüfbar ist – es ist schwer alle ungültigen Fälle zu kennen

• wenn Werte aus verschiedenen Quellen kombiniert werden, die Überprüfung erst nach dem Kombinieren der Werte anwenden

• Angriffsoberfläche erkennen und verkleinern• alle Stellen, in denen Eingaben in die Anwendung gelangen, müssen erkannt und

analysiert werden


CWE-116: Improper Encoding or Escaping of Output(falsche Codierung oder Formatierung von Ausgaben)

• http://cwe.mitre.org/data/definitions/116.html

• Die Anwendung generiert eine strukturierte Nachricht, um mit einer anderen Softwarekomponente zu kommunizieren, aber die Codierung oder Formatierung der Daten in der Nachricht fehlt oder wurde falsch durchgeführt. Dadurch kann die beabsichtigte Struktur der Nachricht verfälscht werden.

• kann sich auf folgende Schutzziele auswirken:– Verfügbarkeit– Vertraulichkeit– Integrität

http://cwe.mitre.org/data/definitions/116.html


Beziehung zu CWE-20 (Improper Input Validation)

• je nach Beschaffenheit der strukturierten Nachricht, kann durch korrekt Eingabeüberprüfung verhindert werden, dass spezielle Zeichen und Zeichenfolgen die Struktur der Nachricht manipulieren können

• Eingabeüberprüfung ist aber nicht immer ausreichend, weil gewisse Zeichen in verschiedenen Kontexten erlaubt oder auch nicht erlaubt sein könnten

z.B. Sonderzeichen in Namen: O'Reilly


Anwendungs-Eingabe und -Ausgabe

ANWENDUNG

EINGABE AUSGABEINTERN



ANWENDUNG

EINGABE AUSGABEINTERNCWE20

CWE116



ANWENDUNG

KonfigurationdateienDatenbankenBenutzereingabenWebanwendungenusw.

INTERNCWE20

CWE116

LogdateienDatenbankenSystemaufrufeWebanwendungenusw.

• https://www.owasp.org

Auszug aus der deutschen Webseite:

• OWASP ist eine unabhängige, weltweite Community [...]. Ziel des OWASP ist die Unterstützung von Unternehmen und Organisationen bei der Entwicklung und beim Betrieb sicherer Webanwendungen und das «Sichtbar-Machen» der Bedeutung der Sicherheit von Webanwendungen.

• Sämtliche OWASP-Instrumente, wie Dokumente, Foren oder die jeweiligen Länder-Chapters stehen kostenlos allen zur Verfügung, die daran interessiert sind, die Sicherheit von Webanwendungen zu erhöhen.

• Die Community ist frei und offen und heißt alle Interessierten sowie Wissens- und Erfahrungsträger herzlich willkommen. Zwanglos kann dies z. B. im Rahmen der OWASP Stammtische erfolgen, die regelmäßig in vielen deutschen Großstädten stattfinden.

https://www.owasp.org/


OWASP Top 10Sicherheitsrisiken für Webanwendungen

https://www.owasp.org/images/9/90/OWASP_Top_10-2017_de_V1.0.pdf

• A1: Injection• A2: Fehler in Authentifizierung• A3: Verlust der Vertraulichkeit sensibler Daten• A4: XML External Entities (XXE)• A5: Fehler in der Zugriffskontrolle• A6: Sicherheitsrelevante Fehlkonfiguration• A7: Cross-Site Scripting (XSS)• A8: Unsichere Deserialisierung• A9: Nutzung von Komponenten mit bekannten Schwachstellen• A10: Unzureichendes Logging & Monitoring


OWASP Top 10Sicherheitsrisiken für Webanwendungen

https://www.owasp.org/images/9/90/OWASP_Top_10-2017_de_V1.0.pdf

• A1: Injection• A2: Fehler in Authentifizierung• A3: Verlust der Vertraulichkeit sensibler Daten• A4: XML External Entities (XXE)• A5: Fehler in der Zugriffskontrolle• A6: Sicherheitsrelevante Fehlkonfiguration• A7: Cross-Site Scripting (XSS)• A8: Unsichere Deserialisierung• A9: Nutzung von Komponenten mit bekannten Schwachstellen• A10: Unzureichendes Logging & Monitoring

auch in denCWE Top 25


Malware

Malware = Malicious Software (bösartige Software / Schadsoftware)

Software, die unerwünschte Funktionen ausführt

verschiedene Arten – oftmals auch Mischformen: Viren Würmer Trojanische Pferde


Malware

Malware = Malicious Software (bösartige Software / Schadsoftware)

Software, die unerwünschte Funktionen ausführt

verschiedene Arten – oftmals auch Mischformen: Viren Würmer Trojanische Pferde

je nach Art der bösartigen Funktion wird auch unterschieden nach: Adware Ransomware Rootkits Spyware und viele weitere Unterkategorien...


Viren

selbstreproduzierend

keine eigenständige Software – benötigen einen Wirt (beispielsweise eine übliche Anwendungssoftware)

Wirtssoftware muss ausgeführt werden zum Aktivieren des Virus

Funktionsweise:

1. Start des infizierten Programms (Wirtssoftware):Aktivierung des Virus

2. Virus infiziert selbständig andere Programme

3. Virus aktiviert Schadensfunktion


Viren

infizierbare Dateien: ausführbare Dateien

(Programmdateien, Programmbibliotheken, Skripte, …) Dateien, die ausführbare Inhalte beinhalten

(Makros – z.B. in PDF-Dateien, Office-Dateien, …) Infektion von Bootsektoren

Unterscheidung entsprechender Typen, z.B. Dateiviren Skriptviren Makroviren Bootsektorviren


Infektionswege von Viren

Verbreitung: passivdurch Kopieren einer infizierten Wirtsdatei auf ein noch nicht infiziertes System

Verbreitungswege: Versenden infizierter Dateien per E-Mail Einsatz von Software aus fragwürdigen Quellen

(z.B. über P2P-Filesharing-Netzwerke, Web-Downloads, …) Kopieren fremder Software (am eigenen oder fremden Rechner) Nutzung fremder oder gemeinsamer Datenträger Arbeiten an Rechnern, deren Festplatte bereits infiziert ist Verwendung infizierter Programme eines Fileservers


Makroviren

werden in den letzten Jahren besonders häufig per E-Mail verbreitet

Verbreitung oft durch E-Mail-Anhänge mit Word- oder Excel-Dokumenten

sehr effektiv, weil Office auf vielen Computern installiert ist und es nicht selten vorkommt, dass Office-Dokumente per E-Mail verschickt werden

beim Öffnen des Office-Dokuments und dem Aktivieren der Makro-Funktion, wird der Virus aktiviert


Infektionswege von Malware allgemein

Quelle: <kes> special 2014#4/6: „IT-Landschaften 2014: Lagebericht zur Sicherheit“


Würmer

spezielle Art von Viren

selbstreproduzierend

selbstständige Software – kein Wirt benötigt

Verbreitung: aktivz.B. durch Versenden von E-Mails an Mitglieder der Adressliste

muss ausgeführt werden zum Aktivieren des Wurms


Trojanische Pferde

auch teilweise als „Trojaner“ bezeichnet (wobei es ja eigentlich eher „Griechen“ heißen müsste – das Pferd enthielt ja Griechen, die die Trojaner angegriffen haben)

Schadsoftware, die vom Benutzer unbemerkt Aktionen auf dessen Computer ausführt - zu diesen Aktionen gehören u. a.:

Löschen von Daten Sperren von Daten Modifizieren von Daten Auslesen/Kopieren von Daten Beeinträchtigen der Funktionalität von Computern oder

Computernetzwerken


Trojanische Pferde



Computernetzwerken

Verfügbarkeit


Trojanische Pferde



Computernetzwerken

VerfügbarkeitIntegrität


Trojanische Pferde



Computernetzwerken

VerfügbarkeitIntegrität

Vertraulichkeit


Trojanische Pferde

im Gegensatz zu Computerviren und -würmern sind Trojanische Pferde nicht in der Lage, sich selbständig zu vervielfältigen

sie werden ganz gezielt von einem Angreifer auf einem PC, Tablet, Smartphone oder sonstigem Computer installiert

anhand ihrer Funktion, werden Trojanische Pferde in verschiedene Typen unterteilt:

Exploit, Backdoor, Rootkit, Banker, DDoS, Keylogger, Downloader, Fake Antivirus, Instant Messaging, Ransom, Spy, Mailfinder, Clicker, Proxy, Notifier, ...


Funktionen Trojanischer Pferde

ExploitProgramme, die Daten oder Code enthalten, mit dem Schwachstellen auf dem lokalen Computer ausgenutzt werden, um weitere Rechte zu bekommen oder um unberechtigt Daten zu erlangen.

BackdoorEine Hintertür über die ein anderer Benutzer die Kontrolle über den infizierten Computer erlangt. Backdoor-Trojaner werden häufig eingesetzt, um mehrere befallene Computer zu einem so genannten Botnet oder Zombie-Netzwerk zusammenzuschließen, welches dann zu kriminellen Zwecken verwendet wird, z.B. um einen DDoS-Angriff zu starten.

Keylogger (Funktionalität von Spyware)Protokolliert unbemerkt die Tastatureingaben mit und übermittelt sie an den Angreifer. Somit können z.B. Passwörter abgefangen werden.


Funktionen Trojanischer Pferde

RansomEin Programm, das in der Lage ist, Daten auf einem infizierten Computer so zu manipulieren, sodass es zu Störungen kommt oder bestimmte Daten nicht mehr genutzt werden können. Der Computer funktioniert erst wieder ordnungsgemäß, wenn ein gefordertes „Lösegeld“ bezahlt wurde.

Fake AntivirusTrojan-FakeAV-Programme simulieren die Aktivität von Antiviren-Software. Sie dienen dazu, Geld zu erpressen – als Gegenleistung für den Schutz vor Bedrohungen, obwohl diese in Wirklichkeit überhaupt nicht existieren. Also eigentlich eine spezielle Art von Ransomware.


„Staatstrojaner“

„Der Chaos Computer Club (CCC) hat eine eingehende Analyse staatlicher Spionagesoftware vorgenommen. Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware. Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können.

Nicht erst seit das Bundesverfassungsgericht die Pläne zum Einsatz des Bundestrojaners am 27. Februar 2008 durchkreuzte, ist von der unauffälligeren Neusprech-Variante der Spionagesoftware die Rede: von der "Quellen-TKÜ" ("Quellen-Telekommunikationsüberwachung"). Diese "Quellen-TKÜ" darf ausschließlich für das Abhören von Internettelefonie verwendet werden. Dies ist durch technische und rechtliche Maßnahmen sicherzustellen.“

Quelle: http://www.ccc.de/updates/2011/staatstrojaner

Quelle: https://netzpolitik.org/2015/staatstrojaner-fuer-quellen-tkue-ab-herbst-verfuegbar/


Sicherheitsrisiken in deutschen Konzernen

Quelle: <kes> special 2014#4/6: „IT-Landschaften 2014: Lagebericht zur Sicherheit“


Schutz vor Malware

kein Starten unbekannter Programme

Least-Privilege-Prinzip beachten

Computer nicht unbeaufsichtigt lassen

Anti-Malware-Software einsetzen

Firewalls einsetzen, um Netzwerk-Angriffe einzuschränken

immer die aktuellsten Sicherheitsupdates installieren(für das Betriebssystem und alle Anwendungen)


Anti-Malware-Techniken

Statische Technikendie zu prüfende Software wird untersucht, ohne sie auszuführen

Dynamische Technikendie zu prüfende Software wird ausge-führt und das Verhalten beobachtet

Scannersucht nach bekannten Bitmustern in der Software (Signaturerkennung)

Heuristiksucht nach Virus-ähnlichen Programm-Bereichen

Integritätsprüfungensucht nach unautorisierten Modifika-tionen in bekannter Software

Monitoring der Aktivitätensucht nach auffälligen Aktivitäten (Abweichungen von den „normalen“Aktivitäten) – z.B. hohe Netzwerk-Kommunikation

EmulationAusführen der Software in emulierter Umgebung oder in einer Sandbox unddabei Monitoring


Least-Privilege-Prinzip

Berechtigungen so einschränkend wie möglich halten

Software nur mit Administrator-Rechten ausführen, wenn unbedingt notwendig

Software mit den Rechten ausführen, die genau das erlauben, was für die Funktionsweise der Software notwendig ist

damit kann der Schaden, der bei Ausnutzen von Schwachstellen in der Software erreicht werden kann, eingeschränkt werden


Firewalls

eine Firewall ist eine Schnittstelle zwischen dem externen Netzwerk und einem geschützten Bereich (oftmals ein Computer)

die Firewall beschränkt den Datenverkehr zwischen dem externen Netzwerk und dem geschützten Bereich

zwei Arten Paketfilter Proxies

Firewalls arbeiten richtungsabhängig Firewalls für in den geschützten Bereich eingehenden Verkehr Firewalls für aus dem geschützten Bereich ausgehenden Verkehr


Firewall Paketfilter

die Aufgabe des Paketfilterns wird meist von einem Router übernommen – kann aber auch einfach Software auf einem Computer sein

filtert eingehende und ausgehende Daten-Pakete

verwirft/erlaubt Pakete abhängig von IP-Adresse des Senders und/oder Empfängers Protokoll (TCP, UDP, ICMP) Port des Senders und/oder Empfängers Eingangsnetzwerkkarte / Ausgangsnetzwerkkarte

Beispiele: Fritzbox, Windows-Firewall


Firewall Paketfilter

Benutzer mit Web-Browsern

Server Firewall Clients

Regel 1:erlaube eingehende TCP-Anfragen auf Port 80 von beliebigen IP-Adressen

Regel 2:erlaube eingehende TCP-Anfragen auf Port 443 von beliebigen IP-Adressen

Web-Server


Firewall Proxy

wird zwischen Client und Server eingefügt

arbeitet als Server und als Client

ist Protokoll-spezifisch - für jeden Dienst ist ein eigener Proxy erforderlich, z.B. HTTP, SMTP, NNTP

da es Protokoll-spezifisch ist, kann es auch die Semantik der Daten verstehen und entsprechend auch nach Inhalten filtern und auch spezielle Funktionen übernehmen – z.B. Verschlüsselung oder Authentifizierung

ist (sicherheitstechnisch) nur dann sinnvoll, wenn er nicht umgangen werden kann


§202a StGB

Ausspähen von Daten

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.


§202b StGB

Abfangen von Daten

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.


§202c StGB

Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einemanderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend. (Vorbereitung der Fälschung von Geld und Wertzeichen)


Phishing

Wortursprung: Password + Fishing

Angeln nach Passwörtern und weiteren sensiblen Informationen im Internet.


Was ist Phishing?

Angriff auf das Sicherheitsbewusstsein von Menschen und nicht auf die Sicherheit von IT-Systemen.

Annahme: Menschen machen Fehler und sind leichter zu überlisten, als technische Sicherheitssysteme.

Nutzt Social-Engineering-Maßnahmen zur Manipulation von Menschen, mit dem Ziel, dass sie sensible Informationen preisgeben oder falsche Aktionen tätigen in dem Glauben, dass sie korrekt seien.

Vertrauen aufbauen oder eine vertrauenswürdige Instanz simulieren und dann die Informationen abgreifen oder Anweisung geben.


Vertrauen aufbauen

Vertrauenswürdige Instanz simulieren: bekannter Dienstleister (Bank/Bezahldienst, Paketdienst, Online-Shop, Social

Media, …) Kollege / Vorgesetzter Kunde / Lieferant Behörde

Gezielt die Person ansprechen: persönliche Ansprache gezielt auf Lebensumstände eingehen (Position/Aufgabe im Unternehmen,

Hobbies, familiäre Umstände, etc.) regionale und zeitliche Umstände berücksichtigen


Kommunikationskanäle für Phishing-Angriffe

E-Mail Telefon Briefpost Persönlich

...

Kombination mehrerer Kanäle auch möglich...


Phishing-Methoden

direkte Preisgabe von Informationen z.B. direkte Frage nach Informationen

indirekte Preisgabe von Informationen z.B. Vortäuschen einer vertrauenswürdigen Webseite, zum Abgreifen der

Informationen

Befolgen von Anweisungen z.B. Überweisung von Geld oder Anpassung einer Kontoverbindung

Installation von Software, die dann die Informationen ausspioniert z.B. Link auf und Anhang mit Malware

weitere Varianten…


Spear-Phishing

Allgemeines Phishing versucht durch Angriffe, gerichtet an eine große Masse, ein paar Personen zu finden, die darauf reinfallen.

Spear-Phishing ist ein Phishing-Angriff, der speziell auf eine gezielte Person ausgerichtet ist.

Es werden möglichst viele Informationen über eine Person und deren Umfeld gesammelt – z.B. über Social Media – und diese Informationen werden dann genutzt, um einen sehr gezielten Angriff zu bauen.

Diese Angriffe sind sehr zeitaufwändig, sind aber schwerer zu erkennen und somit effektiver.

Beispiel: CEO-Fraud


Phishing-Angriffe erkennen und/oder verhindern

Mailinhalt analysieren E-Mail-Absender / -Empfänger überprüfen Links / URIs überprüfen E-Mail-Anhängen misstrauen über zusätzlichen Kanal die Anweisung bestätigen lassen


Phishing-Angriffe erkennen und/oder verhindern:

Mailinhalte analysieren

Passt der Kontext der E-Mail? Ist der Inhalte zu gut, um wahr zu sein? Werde ich zu etwas aufgefordert, was ungewöhnlich ist? Misstrauisch sein und Fragen oder Anweisungen hinterfragen!



E-Mail-Absender / -Empfänger überprüfen

Ist der Absender bekannt? Ist die E-Mail-Adresse authentisch?

Frank Müller <[email protected]> Informationsrecht <[email protected]>

Geht die Antwort an eine andere Adresse, als der Absender?

From: Informationsrecht <[email protected]> Reply To: Informationsrecht <[email protected]>



Links / URIs überprüfen

Ist die angezeigte URL wirklich die URL, auf die verwiesen wird? Verweist die E-Mail zur passenden Webseite?



E-Mail-Anhängen misstrauen

E-Mail-Anhänge können Malware enthalten. Das gilt nicht nur für ausführbare Programme, auch für gewisse Dokumente. Alle Dokumente mit Makro- oder Skript-Funktionen sind gefährlich:

Word-Dokumente Excel-Dokumente PDF-Dokumente

E-Mail-Anhänge von unbekannten Absendern sollten niemals geöffnet werden!



Über zusätzlichen Kanal die Anweisung bestätigen lassen

Wenn eine sehr sensible Anfrage oder Anweisung von einem Absender kommt, dessen Authentizität nicht eindeutig bestimmt werden kann, sollte sie über einen zweiten Kommunikationskanal bestätigt werden.

Beispiel: Eine Anweisung kommt per E-Mail. Den Anweisenden per Telefon anrufen und die Anweisung bestätigen lassen.

Date post:	19-Jun-2020
Category:	Documents
Upload:	others
View:	5 times
Download:	0 times

Vorlesung 4: 13.01weber-vorlesung.de/Datensicherheit_04.pdf · Datensicherheit 4-2 13.01.2020 Heiko...

Documents