Tagged: sicherheit

Distributed Denial of Service

Distributed Denial of Service wird mit DDoS abgekürzt.

Mit einer DDoS Attacke wird ein Dienst (Online Shop, Webseite, Online Banking, Online Game) gestoppt. Die Motivation für eine DDoS Attacke ist unterschiedlich. Politische Gesinnung, unzufriedene Kunden, oder sie können auch einen kriminellen Hintergrund haben. Erpressung zum Beispiel.

Bei DDoS Attacken denkt man immer zuerst an riesige Datenmengen, die die Internet Leitung blockieren. Es gibt ungefähr 10 Typen von DDoS Attacken. 3 Davon können nur  in Zusammenarbeit mit dem Internet Provider gelöst werden. Die andern 7 Attacken hingegen, können nur lokal vor Ihrer Firewall verhindert werden.

Zur Verhinderung dieser Attacken verwenden wir Produkte von Corero.

Computer Sicherheit

In den frühen Tagen des Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware und Software. Im Laufe der Zeit änderten sich die Anforderungen an die Computer. Die Computer wurden zunehmend vernetzt. Die Aufgaben zur Computersicherheit mussten anders gestaltet werden. Der Begriff Computersicherheit st deshalb wandelbar und Spiegel der momentanen technologischen Welt.

Firmen sind heute in allen Bereichen ihrer Geschäftstätigkeit auf Computer oder IT-Systeme allgemein angewiesen. Privatpersonen in den meisten Belangen des täglichen Lebens. Bedingt durch die Abhängigkeit von IT-Systemen in Unternehmen sind die Risiken auch wesentlich grösser als für Computer und Netzwerke in privaten Haushalten. Somit wird Informationssichert überwiegend in Unternehmen betrieben. Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen herleiten. Die Informationssicherheit ist ein wichtiger Baustein des Risikomanagements. International spielen Vorschriften wie der Sarbanes-Oxley Act oder PCI-Compliance eine wichtige Rolle.

Bedrohungen

Fehler in der Computersicherheit oder Informationssicherheit haben folgende Effekte:

  • Technischer Systemausfall
  • Systemmissbrauch (illegale Nutzung, Veränderung)
  • Sabotage
  • Spionage
  • Betrug und Diebstahl

Methoden der Bedrohung

Diese Effekte werden durch diese Bedrohungen hergeführt:

  • Höhere Gewalt (Blitzschlag, Feuer, Vulkanausbruch, Überschwemmung, Erdbeben)
  • Fehlbedienung durch Personal
  • Computerviren, Trojaner und Würmer, die zusammengefasst als Malware bezeichnet werden
  • Spoofing, Phishing, Pharming (vortäuschen einer falschen Identität)
  • Denial of Service
  • Man-in-the-middle oder Snarfing
  • Social Engineering
Viren, Würmer, Trojaner

Während im Firmenumfeld das ganze Spektrum der Computersicherheit Beachtung findet, verbinden viele Privatanwender mit dem Begriff Computersicherheit primär den Schutz vor Viren und sehr undifferenziert vor Hackern. Die ersten Computerviren waren noch recht harmlos und dienten lediglich dem Aufzeigen von Schwachstellen in Computersystemen. Bald erkannte man, dass Viren zu weitaus mehr in der Lage sind. Es begann eine rasante Weiterentwicklung der Schädlinge und der Ausbau ihrer Fähigkeiten. Vom simplen Löschen von Dateien über das Ausspionieren von Daten (Passwörter, Kredikarten-Informationen, Bankdaten) bis hin zum Öffnen des Rechners für entfernte Benutzer (Backdoor, Trojaner). Mittlerweile existieren diverse Baukästen im Internet, die neben einer Anleitung auch alle notwendigen Bestandteile für das einfache Programmieren von Viren liefern. Nicht zuletzt schleusen kriminelle Organisationen Viren auf PCs ein, um diese für ihre Zwecke zu nutzen. So entstanden riesige Bot-Netze.

Angriffe und Schutz

Unter einem Angriff auf den Datenschutz oder die Datensicherheit eines Computersystems versteht man jede Aktion, deren Folge oder Ziel ein Verlust des Datenschutzes oder der Datensicherheit ist. Technisches Versagen kann in diesem Sinne auch als Angriff gewertet werden. Die Sicherheit kann in statistische Sicherheit und in absolute Sicherheit eingeteilt werden.

Massnahmen

Die Massnahmen müssen im Rahmen der Erstellung eines Sicherheitskonzeptes an den Wert der zu schützenden Unternehmenswerte angepasst werden. Zu viele Massnahmen bedeuten zu hohe finanzielle, organisatorische oder personelle Aufwände. Akzeptanzprobleme treten auf, wenn die Mitarbeiter nicht genügend in den Prozess der IT-Sicherheit eingebunden werden. Implementiert man zu wenig Massnahmen, bleiben für Angreifer lohnende Sicherheitslücken offen.

Statistische Sicherheit: Ein System wird als sicher bezeichnet, wenn der Aufwand für das Eindringen in das System höher ist als der daraus resultierende Nutzen für den Angreifer. Die Hürden für einen erfolgreichen Einbruch müssen möglichst hoch sein um das Risiko zu reduzieren.

Absolute Sicherheit: Ein System ist absolut sicher, wenn es jedem denkbaren Angriff widerstehen kann. Die absolute Sicherheit kann nur unter besonderen Bedingungen erreicht werden. Die Arbeit mit einem solchen System ist massiv eingeschränkt durch spezielle Zugangskontrolle, keine Vernetzung, physikalische Sicherheit (AKW).

Der Mangel an Computersicherheit ist eine vielschichtige Bedrohung, die nur durch eine anspruchsvolle Abwehr beantwortet werden kann. Der Kauf einer Software ist kein Ersatz für eine umsichtige Analyse der Risiken und der Umsetzung möglicher Massnahmen zur Abwehr dieser Bedrohungen.

 

Passwörter

password-iconDie am weitesten verbreitete Methode Daten vor unerlaubtem Zugriff zu schützen, sind immer noch Passwörter. Es gibt sicher bessere Methoden um den Zugang nur befugten Personen zu gewähren, die haben sich aber nicht wirklich durchgesetzt oder sind zu komplizert.

Wenn es um Bequemlichkeit geht, sind die meisten Benutzer bereit, alle Sicherheit über Bord zu werfen. Als Passwörter werden Kombinationen wie „123456“, „passwort“ oder „susi“ verwendet. Diese Passwörter werden bei einer Brute Force Attacke in Sekunden erraten.

Es gibt ein paar Regeln, die man beachten muss. Ein Passwort darf nicht zu kurz sein. Ein vierstelliges Passwort, bestehend aus 0-9, lässt 10^4, also 10’000 Kombinationen zu. Nimmt man Gross- und Kleinbuchstaben dazu, erweitert das die Möglichkeiten auf 62^4 oder 14’776’336 Möglichkeiten. Erweitert man den Umfang noch mit Sonderzeichen, wird das Erraten des Passwortes noch schwieriger.

Ein weiterer wichtiger Punkt: Man sollte sich das Passwort merken können. Ein aufgeschriebenes Passwort, wenn möglich noch an den Bildschirm geklebt, ist absolut nutzlos. Passwörter, die in irgendwelchen Wörterbüchern vorkommen, sollten auch vermieden werden. Die werden bei einer „Dictionary Attack“ oder bei der Verwendung von „Rainbow Tables“ besonders schnell gefunden.

Eine Möglichkeit ein gutes Passwort zu generieren: Konstruieren Sie einen Satz. „Dieses Jahr gehen wir alle zusammen in die Türkei in die Ferien.“ Nehmen Sie nun jeden ersten Buchstaben „DJgwazidTidF.“ Bringen Sie nun noch ein wenig Würze ins Passwort, indem Sie den Buchstaben „i“ durch die Zahl „1“ ersetzen. Das Passwort wird somit zu „DJgwaz1dT1dF.“ Aus dem „z“ machen Sie noch die Zahl „2“ und fügen irgendwo ein weiteres Sonderzeichen ein. Sie haben nun ein Passwort dass Sie sich merken können, lang ist und in keinem Wörterbuch vorkommt.

Wenn Sie wissen wollen, wie sicher das ausgewählte Passwort ist, testen sie es. Testen Sie aber nur ein Modell, nicht das Passwort, das Sie wirklich verwenden.

Ein anderes grosses Problem von Passwörtern: werden sie nicht verschlüsselt übertragen, können sie einfach aufgezeichnet werden. Verwenden sie nicht das gleiche Passwort für interne und externe Systeme. Denken Sie auch daran:

Das einzig Beständige im Leben ist nicht das Passwort. Ein Passwort darf ohne weiteres alle 3 Monate gewechselt werden.