You are on page 1of 52

IT-Sicherheit

Glossar
IT-Sicherheit
1
Index IT-Sicherheit

Abhörsicherheit management method

Angriff Crasher

Anwendungssicherheit Datensicherheit

Authentifizierung DoS, denial of service

Authentizität EAL, evaluation assurance level

Autorisierung Flaming

Backdoor Hacker

Bedrohung Heuristik
Broadcaststurm Hijacking

Brute-Force-Angriff Hoax

BS 7799 Identifikation

BSI, Bundesamt für Sicherheit in der Info. Identität

CC, common criteria Informationssicherheit


Compliance Internetsicherheit

Content-Sicherheit ISMS, information security management system

Cracker ISO 17799

CRAMM, computer risk analysis and IT-Sicherheit

2
IT-Sicherheit

ITSEC, information technology Sicherheitsdienst

security evaluation criteria Sicherheitsinfrastruktur

Makrovirus Sicherheitsmanagement

Malware Sicherheitspolitik

Man-in-the-Middle-Angriff Sicherheitsprotokoll

Netzwerksicherheit Sicherheitsrichtlinie

Perimeter-Sicherheit Sicherheitsstufe

Phishing Sicherheitsvereinbarung

Phreaking Snooping

PnP-Sicherheit Spam

Risiko Spoofing

Risikoanalyse Spyware

Sabotage TCSEC, trusted computer security

Schwachstelle trap door

Schwachstellenmanagement Trojaner

Sicherheit Virus

Sicherheits-ID WLAN-Sicherheit

Sicherheitsarchitektur Wurm

3
IT-Sicherheit

Abhörsicherheit Unter Abhörsicherheit versteht man ganz allgemein die Sicherheit gegen unberechtigtes
bug proof Mithören von Dritten bei der Übertragung zwischen Endteilnehmern. Dabei kann es sich
sowohl um die drahtlose Übertragung mittels Funktechnik handeln als auch um das Abhören
der leitungsgebundenen Übertragung über Kabel oder Lichtwellenleiter. Das Abhören betrifft
die Daten- als auch die Sprachkommunikation, wobei letztere durch das Fernmeldegeheimnis
geschützt ist.
Zur Vermeidung des Abhörens werden verschiedene Techniken eingesetzt. Diese reichen von
der Feldstärkemessung über die OTDR-Technik und der Dämpfungsmessung der
Übertragungsstrecke bis zur Verschlüsselung der Information, der gängigsten Methode gegen
unberechtigtes Abhören.
Bei der Mobilkommunikation, bei der die Luftschnittstelle offen ist, werden zu diesem Zweck
alle Gespräche individuell verschlüsselt. Als Verschlüsselungsalgorithmus wird ein
teilnehmereigener Primzahlen-Algorithmus verwendet, der sich auf der SIM-Karte befindet,
aber nicht ausgelesen werden kann.

Angriff Angriffe sind unerlaubte und nichtautorisierte Aktivitäten zum Schaden von Ressourcen,
attack Dateien und Programmen. Man unterscheidet zwischen passiven und aktiven Angriffen.
Passive Angriffe bedrohen die Vertraulichkeit der Kommunikation, beeinflussen aber nicht die
Kommunikation oder den Nachrichteninhalt. Sie zielen ausschließlich auf die unerlaubte
Informationsbeschaffung. Die Abhörsicherheit kann durch diverse Verfahren unterlaufen
werden. Eines der bekanntesten ist Tempest, bei dem die elektromagnetische Strahlung von
Bildschirmen, Computerboards und Datenkabel empfangen und ausgewertet wird. Ein großes
Angriffspotential bieten alle Datenkabel, Telefonleitungen, Lichtwellenleiter und vor allem die
Funktechnik, die besonders gefährdet ist. Ist es bei Datenkabeln die elektromagnetische
4
IT-Sicherheit

Strahlung, die abgehört werden kann, so besteht bei Lichtwellenleitern die Möglichkeit diese
stark zu krümmen, bis die Moden das Kernglas verlassen und die optischen Signale austreten.
Bei den aktiven Angriffen werden die Nachrichten, die Komponenten des
Kommunikationssystems oder die Kommunikation verfälscht. Es kann sich dabei um Angriffe
kann auf Netze, um diese funktional zu stören, wie beispielsweise eine DoS-Attacke, um
Angriffe auf den Zugang zu Systemen oder um die Entschlüsselung verschlüsselter Daten und
Nachrichten. Ein aktiver Angreifer kann durch Einfügen, Löschen oder Modifizieren von Inhalten
bestimmte Reaktionen des Empfängers auslösen und dessen Verhaltensweisen steuern. Zu
diesen aktiven Angriffen gehören das Übermitteln von Viren, Würmern und Trojanern.

Anwendungssicherheit Der Schutz der Anwendungsebene ist ein wesentlicher Aspekt der IT-Sicherheit, da die
application security Angriffe über Web-Applikationen erfolgen und nicht unmittelbar erkennbar sind. Die Angriffe
reichen von Datendiebstahl über Wirtschaftsspionage und Datenmissbrauch bis hin zu
Vandalismus. So können auf dieser Ebene Dateien mit unternehmenskritischen Informationen
und schützenswerten Zugriffsberechtigungen entnommen oder E-Commerce bzw. M-Commerce
auf fremden Accounts missbräuchlich ausgeführt werden.
Application Security dient dem präventiven Schutz und kann durch Erkennen von IT-Risiken in
die Applikationsebene implementiert werden. Bei der Anwendungssicherheit wird der Inhalt
der Datenpakete überprüft und nicht der Header.
Ansatzpunkte liegen in der genutzten Software, in einer möglichen Authentifizierung bei der
Anwendung oder durch geeignete Verschlüsselungsmaßnahmen. So kann man beispielsweise
Angriffe, die gleichartig ablaufen wie das Cross Site Scripting (XSS), durch Einbau
entsprechender Codes abwehren.

5
IT-Sicherheit

Authentifizierung Unter der Authentifizierung versteht man die Aufgaben- und Benutzer-abhängige Zugangs-
authentication und/oder Zugriffsberechtigung. Die Authentifizierung hat den Zweck Systemfunktionen vor
Missbrauch zu schützen. In der Kommunikation stellt die Authentifizierung sicher, dass der
Kommunikationspartner auch derjenige ist, für den er sich ausgibt.
Bei der Authentifizierung wird zwischen einseitiger und gegenseitiger Authentifizierung
unterschieden. In der Praxis ist meistens die einseitige Authentifizierung üblich, wobei
beispielsweise beim Login der Benutzer sein Passwort eingibt und damit nachweist, dass er
wirklich der angegebene Benutzer ist. Als Sicherheitsdienst für die einseitige Identifikation
dient der Empfängernachweis durch den die Benutzer-Identität und damit auch der
Benutzungsberechtigung gegenüber dem System nachgewiesen werden. Dazu dienen
hauptsächlich Passwörter, Passwortverfahren, persönliche ID-Nummern, kryptografische
Techniken sowie Magnet- oder Chip-Ausweiskarten. Eine strenge Authentifizierung kann mit
der Vergabe von Einmalpasswörtern (OTP) und OTP-Token erfolgen.
Darüber hinaus gibt es Authentisierungssysteme die mit biometrischen Daten arbeiten und
Mehrfaktorensysteme, die auf so genannte USB-Token setzen.
Sicherer als die einseitige Authentifizierung ist die gegenseitige, bei der alle
Kommunikationspartner ihre Identität beweisen müssen, bevor untereinander vertrauliche
Daten ausgetauscht werden. So sollte beispielsweise bei Geldautomaten dieser vor Eingabe
der PIN-Nummer beweisen, dass es sich bei dem POS-Terminal um ein echtes Geldterminal
handelt und nicht um eine Attrappe.

Authentizität Authentizität ist die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung. Nach
authenticity heutiger Rechtsauffassung ist die Authentizität nur dann sichergestellt, wenn die Mitteilung,
6
IT-Sicherheit

beispielsweise das Schriftstück, mit Original-Unterschrift versehen ist und zwar von
autorisierten Personen, die die schriftliche Willenserklärung abgeben dürfen. In einigen Fällen
schreibt das Gesetz zur Bestimmung der Authentizität notarielle Beglaubigung, Beurteilung
oder Beurkundung vor.
Bezogen auf die Informationstechnik geht es bei der Authentizität um die Verbindlichkeit von
Daten, Dokumenten, Informationen oder Nachrichten, die einer bestimmten
Datenendeinrichtung oder einem Sender sicher zugeordnet werden können. Durch die
Authentizität muss sichergestellt werden, dass die Herkunft solcher Information zweifelsfrei
nachgewiesen werden kann. Eine Möglichkeit für den Nachweis ist die digitale Signatur (DSig).

Autorisierung Die Autorisierung ist eine Berechtigung, eine explizite Zulassung, die sich auf einen Benutzer
authorization bezieht. Sie definiert, wer was in einem Netz was tun oder welche System-Ressourcen nutzen
darf. Bei der Autorisierung werden dem Nutzer Rechte zugewiesen. Sie berechtigen den
Benutzer eine bestimmte Aktion auszuüben. Um einen wirksamen Schutz zu erreiche, sollten
bei der Rechtevergabe der Nutzer nur für die Ressourcen autorisiert werden, die er unbedingt
benötigt.
Eine Autorisierung setzt eine Prüfung der ausführende Person oder Kommunikationseinrichtung
voraus. Erst nach der Ermächtigung kann die gewünschte Aktion oder Transaktion ausgeführt
werden. So wird beispielsweise eine Transaktion mittels einer Kreditkarte zuerst durch den
Kreditkartenherausgeber autorisiert, nach dem die Kartendaten überprüft wurden.

Backdoor Backdoors sind unberechtigte Zugriffe auf Rechner und deren Datenbestände. Wie der Name
sagt, erfolgt der unberechtigte Zugriff durch die Hintertür. Der Angreifer erlangt über ein
verstecktes, ständig laufendes Programm häufig uneingeschränkte Zugriffsrechte. Im
7
IT-Sicherheit

Gegensatz zu Trojanern ermöglichen Backdoors einen direkten Zugriff auf den betroffenen
Rechner, spionieren interessante und persönliche Daten aus und ermöglichen die Manipulation
von Hard- und Software.
Backdoor werden häufig dazu benutzt um Viren, Würmer oder Trojaner auf dem angegriffenen
Rechner zu installieren oder diesen für unbefugte Operationen wie DDoS-Attacken zu
benutzen.

Bedrohung Ganz allgemein versteht man unter Bedrohung eine potentielle Gefahr, die durch eine
threat Schwachstelle ausgelöst wird. Es kann sich dabei um ein Ereignis handeln, das Schaden
verursacht, um einen Angriff auf ein System, eine Übertragungstrecke oder auf den
Informationsinhalt einer Nachricht, um Spionage oder Sabotage oder auch um Gefahren, die
unbeabsichtigt oder durch natürliche Ereignisse wie Stromausfall, absichtlich oder vorsätzlich
von Mitarbeitern ausgehen. Bedrohung kann von der Technik selbst ausgehen, durch
Fehlbedienungen oder Gewaltanwendung.
In der Informations- und Kommunikationstechnik kann sich die Bedrohung auf die
Verfügbarkeit von Systemen und Ressourcen beziehen oder ebenso auf die Integrität und
Vertraulichkeit von Nachrichten. Das Potential von Bedrohungen ist unermesslich, da es sich
gleichermaßen auf Systeme und Übertragungstechniken, auf Programme und Anwendungen
beziehen kann. Es gibt die aktive Bedrohung bei der Informationen oder der Systemstatus
verändert werden, oder die passive Bedrohung, deren Fokus sich auf das Ausspähen von
Informationen bezieht.
Mit der Bedrohungsanalyse werden alle möglichen Bedrohungsszenarien eines
Kommunikations- oder Informationssystems erkannt, analysiert und dokumentiert. Sie

8
IT-Sicherheit

bewertet die Wahrscheinlichkeit eines Angriffs und den möglichen, durch Angreifer
entstehenden Schaden. Die Bedrohungsanalyse ist Teil der Risikoanalyse und dem
Risikomanagement.

Broadcaststurm Broadcaststürme entstehen dann, wenn in einer Netzkonfiguration viele Stationen gleichzeitig
broadcast storm eine Antwort an die sendende Station senden. In der Regel hat die sendende Station einen
Broadcast gesendet, der gleichzeitig von vielen Stationen beantwortet wird, was mit Re-
Broadcasten bezeichnet werden kann. Da das Re-Broadcasten einer gewissen
Wahrscheinlichkeit unterliegt, hängt die Anzahl der beantworteten Broadcast von dieser ab.
Ist die Wahrscheinlichkeit gering, bekommen einige Knoten im Netzwerk keine Nachricht, ist
sie dagegen hoch, verhält sich das Antwortverhalten wie beim Flooding.
In der Regel handelt es sich bei Broadcaststürmen um Probleme in der Redundanz, der
Konkurrenzsituation und/oder von Kollisionen. So können beispielsweise topologische
Schleifen im Netzwerk Verursacher von Broadcaststürmen sein.
Broadcaststürme können einen erheblichen Schaden anrichten, da sie hinlänglich
Netzwerkressourcen binden und dadurch den eigentlichen Datenverkehr beeinträchtigen.

Brute-Force-Angriff Ein Brute-Force-Angriff stellt einen gewaltsamen Angriff auf einen kryptografischen
brute force attack Algorithmus dar. Das Verfahren probiert systematisch alle möglichen Kombinationen durch, um
den Krypto-Algorithmus zu knacken.
Brute-Force-Angriffe können ebenso auf verschlüsselte Dateien, Nachrichten und
Informationen oder auch auf Passwörter angesetzt werden.
Damit Brute-Force-Angriffe möglichst zeitintensiv sind, setzen die meisten
Verschlüsselungssysteme sehr lange Schlüssel ein. Bei einem 32-Bit-Schlüssel wären es vier
9
IT-Sicherheit

Milliarden Möglichkeiten, die die heutigen Personal Computer in Minuten durchprobiert hätten.
Entsprechend länger dauert die Ermittlung eines 48-Bit-Schlüssels oder gar eines 64-Bit-
Schlüssels, der nur in mehreren tausend Jahren zu knacken wäre.

BS 7799 Der British Standard BS 7799 von 1995 führt die offizielle Bezeichnung „Code of Practise for
Information Security Management“ und bildet die Prüfungsgrundlage für die Sicherheit von IT-
Systemen. Der britische Standard bildet eine international anerkannte Norm für die Bewertung
der Sicherheit von IT-Umgebungen. Aus diesem Standard ist der internationale Standard ISO
17799 hervorgegangen, der als Referenzdokument für die Erstellung eines
Informationssicherheits-Managementsystems (ISMS) dient. Das Ziel dieser Norm ist die
Einführung eines Prozessansatzes, mit dem ein organisationsbezogenes ISMS entwickelt,
umgesetzt, überwacht und verbessert werden kann.
Bei den Zertifizierungen nach BS 7799 steht das gesamte IT-System auf dem Prüfstand und
wird auf vorhandenes Risikopotenzial hin untersucht; und nicht einzelne Anwendungen,
Subsysteme oder Dateien. Der Schutz sensibler Daten und wichtiger Geschäftsprozesse
stehen im Vordergrund.
Wichtige Aspekte des Standards sind die Definition, Spezifikation und Implementierung eines
Informationssicherheits-Managementsystems (ISMS), die Entwicklung organisationsbezogener
Normen und Praktiken hinsichtlich der Informationssicherheit sowie die Überwachung der
Einhaltung von Vereinbarungen an die Informationssicherheit. Der Standard besteht aus zehn
Kapiteln, die die Grundlagen für den praktischen Einsatz bilden:
Security Policy, Security Organization, Asset Classification and Control, Personal Security,
Physical and Environmental Security, Computer and Network Management, System Access
Control, System Development and Maintenance, Business Continuity and Disaster Recovery
10
IT-Sicherheit

Planning und Compliance.


ISO 17799, das das
Management von
Informationssicherheit
beschreibt, schafft die
Voraussetzungen für die
Zertifizierung eines ISMS-
Systems.
Der Standard BS 7799 besteht
aus zwei Teilen:
Teil 1: Leitfaden zum
Management von
Informationssicherheit,
Teil 2 von 1999: Spezifikation
für Managementsysteme der
Informationssicherheit.
Sicherheitskonzept
Im Jahre 2002 wurde der zweite
Teil an internationale Management-Standards und die OECD-Richtlinien angepasst. Damit
können Unternehmen einen Sicherheitsprozess etablieren, der den Sicherheitswert
systematisch auf einem zu definierenden Niveau verbessert.
Das von der ISO im Herbst 2005 herausgegebene Regelwerk ISO 2700x beinhaltet in der ISO
27001 die Aspekte von BS 7799 und löst dieses ab.
http://www.thewindow.to/bs7799/index.htm

11
IT-Sicherheit

BSI, Bundesamt für Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde 1991 nach Inkrafttreten
Sicherheit in der des BSI-Errichtungsgesetzes gegründet. Der Aufgabenbereich des BSI liegt in der Entwicklung
Informationstechnik und Förderung von Technologien für sichere Netze für die Informationstechnik.
Schwerpunkte der BSI-Aktivitäten sind der Schutz gegen Computer-Viren, die elektronische
Signatur, die Internetsicherheit, der IT-Grundschutz, die Überprüfung von
Sicherheitsarchitekturen und das E-Government. Verschiedenen Arbeitsgruppen befassen sich
mit der Fortentwicklung des E-Government, der Bereitstellung von Computer-Dienstleistungen
für Bundesbehörden sowie der Sicherheit des Internet. Das BSI erstellt Dokumente für die
genannten Schwerpunkte, die über das Internet abgerufen werden können.
http://www.bsi.de

CC, common criteria „Common Criteria for Information


Technology Security Evaluation“ (CC) ist
die Weiterentwicklung von ITSEC, der
TCSEC der USA und der kanadischen
CTCPEC. Es handelt sich um weltweit
anerkannte Sicherheitsstandards für die
Bewertung und Zertifizierung
informationstechnischer Systeme.
Die Common-Criteria-Zertifizierung wurde
1998 von den Regierungsstellen in den
USA, Kanada, Deutschland, Großbritannien
und Frankreich begründet und bereits von
Entwicklung der Common Criteria (CC) mehreren anderen Ländern übernommen.
12
IT-Sicherheit

Dabei hat das Bundesamt


für Sicherheit in der
Informationstechnik (BSI)
bei der Entwicklung der
Common Criteria eine
aktive Rolle übernommen.
Die Common Criteria
wurden von der NIST
Sicherheitslevels nach ITSEC und Common Criteria (CC)
veröffentlicht und sind
international von der ISO
standardisiert. Der Standard ISO 15408 beschreibt die Bewertung der Sicherheitsfunktionen
von IT-Produkten.
In den Common Criterias werden der Geltungsbereich für die sicherheitsrelevante Evaluierung
beschrieben, darüber hinaus die funktionalen Anforderungen in Zusammenhang mit der
Bedrohung und den Sicherheitszielen und die Anforderungen an die Vertrauenswürdigkeit.
Die Klassifizierung der IT-Sicherheitsprüfung im Rahmen der Common Criteria erfolgt in sieben
so genannten EAL-Stufen, die auch als Schutzprofile bezeichnet werden. Diese reichen von
EAL1 für unzureichendes Vertrauen bis hin zu EAL7 für den formal verifizierten Entwurf und
Test des IT-Equipments.
http://www.bsi.bund.de/cc/

Compliance Der Begriff Compliance umschreibt ein regelkonformes Verhalten eines Unternehmens in
Bezug auf die gesetzlichen und regulativen Bestimmungen. Die Compliance soll sicherstellen,
dass die unternehmerischen Risiken erkannt, bewertet und durch die Implementierung
13
IT-Sicherheit

technischer Lösungen erfüllt werden.


Die Rechtskonformität betrifft in gleichem Maße die handelsrechtliche und steuerrechtliche
Dokumentation von Vorgängen, aber ebenso sicherheitsrelevante Lösungen der elektronischen
Kommunikation und vor allem der Archivierung. Einschlägige Richtlinien für
sicherheitstechnische Konformität finden sich in dem British Standard BS 7799, dem IT-
Grundschutzhandbuch des deutschen Bundesamtes für Sicherheit in der Informationstechnik
(BSI GsHb), in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
(GDPdU) und in den Grundsätzen für ordnungsgemäße DV-gestützte Buchführungssysteme
(GoBS).
An weiteren Richtlinien und Gesetzen, die unternehmensspezifische Aspekte berücksichtigen,
sind Basel II zu nennen, in denen die Eigenkapitalvorschriften festgelegt sind, die
International Financial Reporting Standards (IFRS) für die Rechnungslegungen, das Gesetz zur
Kontrolle und Transparenz im Unternehmensbereich (KonTraG) mit der die Corporate
Governance in deutschen Unternehmen verbessert werden soll und den Sarbanes-Oxley-Act,
der bei international tätigen Unternehmen die Bilanztransparenz erhöht.

Content-Sicherheit Die Content-Security befasst sich mit dem Schutz der Informationen vor allen bekannten
content security Viren, Würmern und Trojanern, sowie mit der Erkennung von neuen Gefahren und die
Verhinderung von Spams. Zur Content-Security gehören Sicherheitslösungen für die Abwehr
von Hackerangriffen, die über Sicherheitslücken in Netzwerken und Anwendungen Schaden
anrichten.
Bei der Content-Security werden die Daten hinsichtlich ihrer Integrität geprüft; des Weiteren
wird geprüft ob sie verschlüsselt gesendet, empfangen und genutzt werden dürfen. Diese
Sicherheitsprüfungen erfolgen nach einem festgelegten Regelwerk, den Policies, mit dem
14
IT-Sicherheit

organisatorische und personenspezifische Kenndaten überprüft werden.


Die Maßnahmen für die Content-Security reichen von Anti-Virus-Programmen mit denen der
Web-Verkehr und alle E-Mails gescannt werden, über die Abwehr von Hackerangriffen bis hin
zu nachgeschalteten Anti-Spam-Filtern, Web-Filtern und E-Mail-Filtern. Wobei die Web-
Filterung unerwünschte Webseiten ausfiltert und die E-Mail-Filterung die E-Mails
inhaltsabhängig nach Text- und Anhängen durchsucht und entsprechend ausfiltert.

Cracker Ein Cracker ist eine Person, die unberechtigt in ein Computersystem eindringt. Ziel der Cracker
- der Begriff wird oft synonym mit Hacker verwendet - ist es, die Sicherheitssysteme zu
knacken und die gewonnenen vertraulichen Daten nicht zum wirtschaftlichen oder sozialen
Nachteil für das betroffene Unternehmen oder die betroffene Institution auszunutzen.
Cracker verursachen häufig Schäden an den Systemen, im Gegensatz zu Hackern, die meistens
nur ihre spezifische Visitenkarte hinterlassen.
Im deutschen Sprachgebrauch versteht man unter einem Cracker eine Person die den
Kopierschutz von Systemen knackt.

CRAMM, computer risk CRAMM ist ein bereits 1987 vorgestelltes Software-Paket für das wissensbasierte
analysis and Risikomanagement, das dem britischen Sicherheitsstandard BS 7799 entspricht und nach ISO
management method 17799 zertifiziert ist.
CRAMM basiert auf einer toolgestützten Struktur mit der Geschäftsprozesse modelliert und
Schwachstellen in IT- und Kommunikationssystemen bewertet werden können. Darüber hinaus
kann CRAMM Sicherheitsvorschläge unterbreiten, Notversorgungsmaßnahmen planen, ISMS
generieren und zu schützende Objekte identifizieren. Mit dem Ergebnis, das als Report
ausgegeben werden kann, kann das Management Schwachstellen und Risiken in den IT-
15
IT-Sicherheit

gestützten Geschäftsprozessen, in Software und Hardware, Netzwerken, Personal, Gebäude


u.a. erfassen, bewerten und beseitigen.

Crasher Die Begriffe Hacker, Cracker und Crasher haben unterschiedliche Bedeutung. Bei einem
Crasher handelt es sich um jemanden, der Vandalismus in Computersystemen ausübt, diese
zum Absturz bringt und vorsätzlich Schaden anrichtet.

Datensicherheit Unter Datensicherheit sind gesetzliche Regelungen und technische Maßnahmen zu verstehen,
data security durch die die unberechtigte Speicherung, Verarbeitung und Weitergabe schutzwürdiger Daten
verhindert werden soll. Ziel ist es, die Persönlichkeitsrechte des Menschen vor den Folgen der
Erfassung seiner Individualdaten bei der manuellen und automatischen Datenverarbeitung zu
schützen. Innerhalb eines Betriebs gehören dazu personelle, organisatorische und
revisionstechnische Regelungen, außerdem geräte- und programmtechnische
Schutzmechanismen.
Datenschutz, Datenintegrität und Datensicherung bilden die verlässliche
Informationsverarbeitung.
In Deutschland ist der Datenschutz durch das „Gesetz zum Schutz vor Missbrauch
personenbezogener Daten bei der Datenverarbeitung“ vom 27.1.1977 im
Bundesdatenschutzgesetz (BDSG) verankert. Gewerbliche oder staatliche Computeranwender
mit schutzbedürftigen Daten müssen Datenschutzbeauftragte einsetzen.
Darüber hinaus gibt es in Deutschland das Bundesgesetz über den Datenschutzgesetz vom
19.06.1992. Es lautet: „Wer personenbezogene Daten für sich selbst oder im Auftrag für
andere elektronisch bearbeitet, muss durch geeignete Maßnahmen den Verlust und den
Missbrauch dieser Daten verhindern“.
16
IT-Sicherheit

DoS, denial of service Denial of Service (DoS) sind Attacken im Internet zur Beeinträchtigung von Webservices, die
DoS-Attacke damit außer Betrieb gesetzt werden. Diese Angriffe können durch Überlastung von Servern
ausgelöst werden, so beispielsweise mittels der Bombardierung eines Mail-Servers mit einer
so großen Anzahl von Mails, dass dieser seine Funktion wegen Überlast nicht mehr ausüben
kann, oder durch die Überflutung eines Netzwerks mit Datenpaketen.
DoS-Attacken zielen in der Regel nicht auf den Zugang zum Netzwerk, System oder zu den
Datenbeständen ab, sondern haben das Ziel einen Dienst einzuschränken, zu blockieren oder
unbenutzbar zu machen. Dazu werden die zur Verfügung stehenden Programme oder
Netzwerk-Ressourcen außerordentlich überbelastet.
Ein DoS-Angriff kann durch IP-Spoofing vorbereitet werden. Der Angreifer nutzt dazu eine
autorisierte IP-Adresse und gelangt so in das System oder das Netzwerk, um dann seine DoS-
Attacke auszuführen.
Neben dem Mail-Bombing, gibt es noch das SYN-Flooding, das Ping-Flooding und die DDoS-
Attacken.

EAL, evaluation Die Evaluation Assurance Level


assurance level (EAL) kennzeichnen die
Vertrauenswürdigkeit in eine
Sicherheitsleistung. Im
Rahmen der Common Criteria
(CC) werden sie für die
Bestimmung der
Sicherheitsprüfungen
Sicherheitslevels nach ITSEC und Common Criteria (CC) verwendet.
17
IT-Sicherheit

Es gibt sieben EAL-Stufen, die mit den Ziffern 1 bis 7 gekennzeichnet sind und mit steigender
Ziffer einen höheren Sicherheitsstandard repräsentieren. So bietet die EAL-Stufe EAL1 einen
einfachen Funktionalitätstest, der ein unzureichendes Vertrauen in die IT-Sicherheitsprüfungen
darstellt; EAL7 bietet als höchster Sicherheitstandard eine formal logische Verifizierung.
Anhand der EAL-Stufen ist eine Vergleichbarkeit der Sicherheitsfunktionalitäten von
Programmen und Systemen gegeben. Allerdings sind bei der Bewertung der
Sicherheitsleistungen die Schwachstellen, über die Eindringlinge in das oder Attacken auf das
System ausgeführt werden können, zu analysieren.

Flaming Flaming ist ein Internet-Jargon für eine bösartige, oft persönliche oder gar beleidigende
Angriffe auf den Verfasser eines Artikels in einer Newsgroup, in Diskussionsforen oder auch
beim Schreiben von E-Mails. Flaming sind verbale Auswüchse, die gegen die Netiquette
verstoßen und unterbleiben sollten.

Hacker Unter Hacker versteht man Personen, die sich über öffentliche Netze oder IP-Netze
unberechtigten Zugang zu anderen Systemen verschaffen und versuchen auf den
Datenbestand in fremden Systemen zuzugreifen. Der unberechtigte Zugang erfolgt in der
Regel unter Umgehung der Sicherheitssysteme.
Das Eindringen kann bei der Datenübertragung, auf den Leitungen, den
Übertragungskomponenten oder Protokollen stattfinden.
Als Gegenmaßnahmen gegen Hacker empfehlen sich u.a. das regelmäßige Auswechseln von
Passwörtern, die Beseitigung von Schwachstellen im System, das Abschalten von nicht
genutzten Systemdiensten, das Callback als Kommunikationsroutine, die Überwachung von
Service-Eingängen und der Einsatz von IDS-Systemen.
18
IT-Sicherheit

Heuristik Heuristik ist die Lehre von Methoden zum Auffinden neuer Erkenntnisse. Heuristische
heuristics Verfahren werden beispielsweise beim Aufspüren neuer Viren angewendet und zwar
vorwiegend in dem Zeitraum, in dem noch kein neues Update für die Virenscanner entwickelt
wurde. Um zu verhindern, dass in dem Zeitraum in dem die Hersteller die Updates für neue
Viren entwickeln, der Schaden durch ein neues Virus möglichst gering gehalten wird, werden
die Schädlinge mittels heuristischer Verfahren abgefangen. Hierbei suchen die Virenscanner
nach verdächtigen Codes, der beispielsweise die Festplatte formatiert oder unerwartete
Online-Verbindungen aufbaut. Das Erkennen solcher Phänomene wird vom Virenscanner
angezeigt.
Hijacking
Das englische Wort Hijacking steht für Entführung. Es wird in IP-Netzen für Angreifer benutzt,
in denen der Angreifer eine Domain oder eine aktive IP-Sitzung übernimmt. Der Angreifer
schlüpft dabei nach der Autorisierung des Nutzers in dessen Rolle und übernimmt die IP-
Verbindung. Beim UDP-Prokoll ist das Vorgehen besonders einfach, da es nicht
verbindungsorientiert arbeitet. Anders ist es beim TCP-Protokoll, bei dem der Angreifer die
Sequenznummer erraten muss.
Ziel des Hijacking ist es, sich fremde Informationen und Datenbestände anzueignen. Daher
kann das Hijacking auf den Content ausgerichtet sein, dann handelt es sich um Content-
Hijacking, aber auch auf Domains, man spricht dann von Domain-Hijacking. Beim Content-
Hijacking geht es um fremde Inhalte, an denen der Angreifer interessiert ist und die er sich
aneignen möchte. Ein solcher Content-Angriff auf eine Domain kann beispielsweise dazu
dienen den PageRank von der Website, von der der Content entnommen wurde, zu
verschlechtern und gleichzeitig den eigenen zu erhöhen.
Beim Domain-Hijacking geht es um registrierte, aber bereits gelöschte Websites. Diese sind
19
IT-Sicherheit

dann von besonderem Interesse, wenn viele Hyperlinks auf diese Website hinweisen und
diese einen höheren PageRank besitzen. Der Angreifer bestückt die besetzte Domain mit
eigenen Inhalten und profitiert von dem vorhandenen PageRank.

Hoax Hoaxes sind elektronische Falschmeldungen, die bewusst durch Dritte über E-Mails verbreitet
werden. Die Hoaxes enthalten Text, der in die Irre führen soll wie eine Zeitungsente oder ein
Aprilscherz, richten aber keinen direkten Schaden an. Um eine weite Verbreitung zu finden,
werden sie als Kettenbrief gehandhabt.
Eine Hoax kann alle Themenbereiche tangieren, die Warnung vor einem Virus, Unternehmens-
und Börsennachrichten, den Umweltschutz, das Wetter bis hin zu weiteren Warnhinweisen. Sie
verbreiten sich extrem schnell und werden von Virenscannern nicht erkannt. In Hoaxes finden
sich in der Regel Aufrufe, diese auch an Bekannte und Kollegen weiterzuleiten.

Identifikation Die Identifikation ist die Überprüfung einer Person oder eines Objektes in Bezug auf
identification vorgelegte, eindeutig kennzeichnende Merkmale, die Identität. Diese Identität kann anhand
von eindeutigen Merkmalen, die denen eines Ausweises entsprechen, überprüft werden. Oder
auch mittels Passwörtern und gespeicherten Referenzpasswörtern.
Für die Identifizierung gibt es verschiedene Medien und Verfahren; u.a. Chipkarten,
Magnetkarten, Smartkarten und biometrische Verfahren. Darüber hinaus werden in der
Warenwirtschaft Strichcodes, 2D-Codes und RFID für die eindeutige Warenkennzeichnung
eingesetzt.
Bei der biometrischen Identifikation werden individuelle, körperspezifische Merkmale wie der
Fingerabdruck, das Gesichtsfeld oder die Iris für die Identifikation genutzt.

20
IT-Sicherheit

Identität Eine Identität ist der eindeutige Identifikator für eine Person, Organisation, Ressource oder
identity einen Service zusammen mit optionaler zusätzlicher Information (z.B. Berechtigungen,
Attributen). Die Identität umfasst eindeutig kennzeichnende Merkmale.
Es gibt verschiedene Techniken zur eindeutigen Identitätskennzeichnung wie die ID-Nummer
oder der elektronische Schlüssel, der die Identität eines Benutzers sicherstellt, und diverse
Verfahren zur Prüfung und Feststellung der Identität.

Informationssicherheit Informationssicherheit ist der Präventivschutz für Persönlichkeits- und Unternehmens-


information security Informationen und ist auf
kritische Geschäftsprozesse
fokussiert. Ein solcher
Schutz bezieht sich
gleichermaßen auf Personen,
Unternehmen, Systeme und
Prozesse und wird durch
Integrität, Verfügbarkeit,
Vertraulichkeit,
Verbindlichkeit,
Nachweisbarkeit und
Authentizität erzielt. Die
Informationssicherheit soll
den Verlust, die
Manipulation, den
Schwachstellen in der Informationssicherheit unberechtigten Zugriff und
21
IT-Sicherheit

die Verfälschung von Daten verhindern.


Die Basis für die Informationssicherheit kann durch konzeptionelle, organisatorische und
operative Maßnahmen erreicht werden. Dazu gehört die Umsetzung von sicherheitsrelevanten
Grundsätzen eines Unternehmens, die so genannte Informationssicherheitspolitik. In dieser
sind die Ziele des Unternehmens und die Realisierung festgelegt.
Ein wichtiger Ansatz für die Sicherheit von Informationssystemen ist der British Standard BS
7799 sowie der ISO-Standard 17799 als Implementierungsleitfaden. Diese beiden
Sicherheitsstandards werden in der Security-Norm ISO 27001 berücksichtigt.

Internetsicherheit Als weltweit größter Netzverbund bietet das Internet Angreifern hinreichende Möglichkeiten,
Internet security sich unberechtigten Zugriff auf Datenbestände und Ressourcen zu verschaffen, Datenbestände
und übertragene
Daten zu
manipulieren und zu
sabotieren. Die
technischen
Möglichkeiten für das
unberechtigte
Eindringen in fremde
Datenbestände
reichen vom Abhören
von Passwörtern,
über das IP-Spoofing,
Übertragungsstrecke mit Web-Shield bei dem sich der

22
IT-Sicherheit

Eindringling einer gefälschten IP-Adresse bedient, über das IP-Hijacking, bei dem der
Angreifer eine bestehende IP-Verbindung übernimmt, den Replay-Angriff, bei dem der
Angreifer gezielt vorher gesammelte Informationen einsetzt, um dadurch fehlerhafte
Transaktionen auszuführen, über das SYN-Flooding, einem gezielten Angriff auf den Server, um
diesen durch Überlast von seinen eigentlichen Aufgaben abzulenken, bis hin zum Man-in-the-
Middle-Angriff, einer Attacke, bei der die Kommunikation zwischen zwei Partnern abgefangen
und manipuliert wird.
Wirkungsvolle Maßnahmen gegen diese Bedrohungen der Internetsicherheit bieten so
genannte Web-Shields, die als Application Layer Gateway (ALG), auch bekannt als Web
Application Firewall (WAF), agieren. Im Gegensatz zu klassischen Firewalls und IDS-Systemen
untersuchen die genannten Systeme die Kommunikation auf der Anwendungsebene.

ISMS, information Ein Informationssicherheits-Managementsystem (ISMS), das nach der Normenreihe ISO 2700x
security management zertifiziert wird, erfüllt die Voraussetzungen für ein qualifiziertes Sicherheitsmanagement. Ein
system solches ISMS-System, bestehend aus Richtlinien, Maßnahmen und Tools, beherrscht
spezifische IT-Risiken und garantiert die geforderte IT-Sicherheit.
Ein ISMS-System mit einem Prozess-orientierten Ansatz bildet die Grundlage für das
Unternehmen und dessen Positionierung hinsichtlich der Informationssicherheit. In einem
solchen Ansatz sollten die Bedeutung, die Anforderungen und die Ziele der
Informationssicherheit festgelegt sein. Des Weiteren sollte die Effektivität des ISMS
kontrolliert und das System ständig nachvollziehbar verbessert werden. Bei diesem Prozess-
orientierten Ansatz kann jede Aktivität, die Ressourcen nutzt, als Prozess betrachtet werden.
Wobei jeder Prozess den Input für den folgenden Prozess bilden kann.
Ein ISMS-System muss in allen Hierarchieebenen eines Unternehmens implementiert sein und
23
IT-Sicherheit

von Verantwortlichen betreut werden. In der Implementierung eines solchen Systems spiegelt
sich die Organisation mit ihren unternehmerischen Anforderungen wider. Die Normenreihe ISO
2700x behandelt die Thematik ISMS, dabei geht die Norm ISO 27001 auf die
Zertifizierungsanforderungen ein und ISO 27003 gibt Anleitungen für die Entwicklung und die
Implementierung eines Information Security Management Systems (ISMS).

ISO 17799 Der im Jahre 2000 verabschiedete internationale Standard ISO 17799 für die IT-Sicherheit ist
aus dem British Standard BS 7799 hervorgegangen. Der Standard mit dem Titel „Code of
Practice for Information Security Management“ bietet eine Auswahl an Kontrollmechanismen,
die auf Methoden und Verfahren basieren, die sich in
der IT-Sicherheit bewährt haben. In dem Standard
werden keine konkreten Sicherheitslösungen
empfohlen; allerdings sollten Unternehmen und
Organisationen aller Branchen die im Standard
aufgeführten Richtlinien beachten und umsetzen.
Die ISO hat mit ISO 17799 ein formelles
Anerkennungs- und Zertifizierungsverfahren für die
Einhaltung der Standards eingeführt, wodurch sich die
allgemeine Qualität des Standards verbessert hat.
Dieser Standard, der den ersten Teil von BS 7799
umfasst, ist weltweit akzeptiert. Im Jahre 2005 wurde
ISO 17799 überarbeitet und in der neuen Fassung
Vom BS 7799 über die ISO 17799 unter der Normenreihe ISO 2700x als ISO 27002
zur ISO 27002 veröffentlicht.
24
IT-Sicherheit

ISO 17799 ist eine Sammlung von Empfehlungen, die für die IT-Sicherheit und das Business
Continuity Management (BCM) angewendet werden. Diese Richtlinien haben sich in der Praxis
bewährt können in allen Hierarchieebenen von Unternehmen, Institutionen und
Organisationen eingesetzt werden. Da die Vielfalt der Sicherheitsaspekte von der
Systemumgebung und der Unternehmensorganisation geprägt ist, ist ISO 17799 ein flexibler
Standard, der eigene Interpretationen zulässt.

IT-Sicherheit Die IT-Sicherheit tangiert alle


IT security technischen Maßnahmen zur
Verringerung des
Gefährdungspotenzials für IT-
Anwendungen und -Systeme.
Alle mit dem
Gefährdungspotenzial in
Zusammenhang stehenden
Schutzmaßnahmen, wie die
Entwicklung von
Sicherheitskonzepten, die
Vergabe von
Zugriffsberechtigungen und die
Implementierung von
Sicherheitsstandards, sind
Aspekte der IT-Sicherheit. IT-
Sicherheitskonzept
Sicherheit ist die technische
25
IT-Sicherheit

Umsetzung der Sicherheitskonzepte unter wirtschaftlichen Aspekten.


Die IT-Sicherheit umfasst alle gefährdeten und daher schützenswerten Einrichtungen, Systeme
und Personen. Dazu gehören u.a. Gebäude, Netze, Hardware und Software sowie die an den
Systemen Arbeitenden. Ziel der IT-Sicherheit ist es, die Verfügbarkeit von Systemen und
Daten sicherzustellen, die Vertraulichkeit zu gewährleisten, damit weder Unbefugte auf
Dateien zugreifen können und die Dateien auch bei der Übertragung weiterhin vertraulich
bleiben, die Sicherstellung der Authentizität und der Integrität der Daten.
Für die physikalische IT-Sicherheit gibt es mehrere nationale und europäische Standards, so
die Definition der Brandabschnitte nach DIN 4102 oder die in den EN-1047-Standards
spezifizierten Belastungsgrenzen für Daten und Systeme. Darüber hinaus gibt es Richtlinien
und Güteklassen für den Einbruchschutz mit der Beschreibung des Mauerwerks.

ITSEC, information Die Information Technology Security


technology security Evaluation Criteria (ITSEC) sind
evaluation criteria europäische Sicherheitsstandards, die
der Bewertung und Zertifizierung der
Sicherheit von IT-Systemen dienen. Es
handelt sich um eine technisch
orientierte, produktbezogene
Sicherheitsrichtlinie.
ITSEC ist aus verschiedenen
europäischen Sicherheitsrichtlinien, den
UK Confidence Levels, German Criteria,
Entwicklung der ITSEC French Criteria und dem US Orange
26
IT-Sicherheit

Book TCSEC hervorgegangen.


Die Kriterien sind in einem Katalog zusammengefasst und sind nur für den europäischen Raum
gültig.
Das Vertrauen in die Sicherheitsstufen von ITSEC ist in sogenannte Evolutionsstufen
gegliedert. Es gibt die Stufen E0, was ein unzureichendes Vertrauen widerspiegelt, bis E6 für
höchstes Vertrauen. Je höher die Evolutionsstufe, desto fachkundiger sind die Eindringlinge.
Die Evaluierung beinhaltet die Prüfung und Bewertung der Sicherheitseigenschaften eines IT-
Produkts nach den festgelegten Sicherheitskriterien.
Die Weiterentwicklung des ITSEC sind die Common Criteria for Information Technology
Security Evaluation.
Die ITSEC, die 1991 von der EU-Kommission verabschiedet wurde und vom Bundesamt für
Sicherheit in der Informationstechnik (BSI) angewendet wird, ist das europäische Gegenstück
zur amerikanischen TCSEC. Aus beiden wurden die Common Criteria (CC) entwickelt.

Makrovirus Makroviren werden im Gegensatz zu normalen Viren in einer Makrosprache erstellt und
macro virus befallen im Gegensatz zu diesen Dokumente der jeweiligen Host-Anwendung. Da Makros
wiederkehrende Tastatureingaben und Programmabläufe automatisieren helfen, können
Computerviren über Makroprogramme erstellt und reproduziert werden.
Makroviren sind in Dokumenten eingelagert und werden bei Aufruf und Weitergabe der Dateien
verteilt. Durch diese einfache Verbreitung können Makroviren enorme Schäden verursachen,
beispielsweise durch Veränderung der Zahlen in einer Tabellenkalkulation.

Malware Unter den Oberbegriff Malware fallen alle unerwünschten Software-Aktivitäten, die die IT-
Sicherheit oder die Funktionsfähigkeit von Computern und Systemen beeinträchtigt. Dazu
27
IT-Sicherheit

zählen im Einzelnen Viren, Trojaner und Würmer, Flooding und DoS-Attacken, Spyware,
Spams, Hoaxes usw. Bei Malware handelt es sich immer um Aktivitäten, die vom Benutzer
nicht erwünscht sind.
Die technischen Verfahren mit denen die Malware-Aggressoren ihre Opfer ausspähen sind auf
einem hohen technischen Niveau. Gängige Antiviren- und Anti-Malware-Programme sind auf
nicht in der Lage die Angriffe zu erkennen oder aufzuspüren. Wenn die Malware-Angriffe ihre
Aufgaben erfüllt und Konstruktionspläne, Kontennummern oder andere Informationen
ausgespäht haben, verwischen die Programme ihre eigenen Spuren. Häufig kann der
entstandene Schaden und das Eindringen erst dann rekonstruiert werden, wenn der
Privatmann oder das Unternehmen bereits geschädigt wurde.

Man-in-the-Middle- Man-in-the-Middle ist ein Angriff auf den Kommunikationskanal zwischen zwei Partnern. Der
Angriff Angreifer versucht dabei den Kommunikationskanal unter seine Kontrolle zu bringen, und zwar
man-in-the-middle attack in der Art und Weise, dass die Kommunikationspartner nicht feststellen können ob sie
miteinander oder mit dem Angreifer kommunizieren.
Man-in-the-Middle-Angriffe können dann erfolgreich sein, wenn für die Verschlüsselung Public-
Key-Verfahren ohne signierte Zertifikate benutzt werden, wie beispielsweise bei HTTPS.
Abhilfe gegen Man-in-the-Middle-Angriffe schafft nur eine eindeutige Identifikation der
Teilnehmer, ohne dem Angreifer die Identifikation preiszugeben.

Netzwerksicherheit Die Netzwerksicherheit ist eine Symbiose aus Richtlinien und Vorschriften, aus Produkten und
network security Diensten. Sie tangiert alle Unternehmensebenen, vom Benutzer über den Administrator bis
hin zur Unternehmensführung. Es ist ein Maßnahmenkatalog in Form einer Security Policy, die
dafür sorgen muss, dass die Zugriffsberechtigung, Autorisierung, Identifikation und
28
IT-Sicherheit

Authentifizierung verwaltet werden, dass jede Attacke, jeder unerlaubte Zugriff, jede Art der
Sabotage, der Manipulation, des Missbrauchs und der Beeinflussung der Datenbestände und
Ressourcen verhindert oder unmittelbar erkannt wird und dass das Einschleusen von Viren,
Würmern oder Trojanern, DoS-Attacken oder IP-Spoofing nicht möglich ist.
Ausgehend von einem solchen Maßnahmenkatalog können technische Lösungen implementiert
werden.
An netzwerkumfassenden Konzepten gibt es Network Access Control (NAC) von Cisco und
anderen Unternehmen, Network Access Protection (NAP) von Microsoft und Trusted Network
Connect (TNC) von der Trusting Computing Group.

Perimeter-Sicherheit Perimeter-Sicherheit betrifft die Sicherheit am Übergang zwischen dem Unternehmensnetz und
perimeter security dem Internet. Für die Perimeter-Sicherheit sind bestimmte Richtlinien definiert, die die IT-
Technik des Unternehmens gegen das Gefahrenpotential schützen, das durch Viren, Würmer
und Hacker verursacht wird. Zu den in den Richtlinien genannten Möglichkeiten gehören
Firewalls, Virenscanner und Anti-Viren-Software sowie Web-Filtertechniken.

Phishing Mit der Wortschöpfung Phishing, das sich aus Passwort und Fishing zusammensetzt, ist
ebenso wie das Pharming eine Technik, bei der der Angreifer versucht, die persönliche
Identifikations-Nummer (PIN) und die Transaktionsnummer (TAN) von Bankkunden über das
Internet abzufragen und damit Finanztransaktionen durchzuführen.
Die Angreifer, die Phisher, fragen über gefälschte Bank-Homepages die vertraulichen Daten ab.
Zu diesem Zweck wird eine nachgemachte Homepage eines Geldinstituts ins Internet gestellt.
Nach dem Zufallsprinzip werden E-Mails mit einem Link auf die gefälschte Hompage versandt.
In diesen E-Mails werden Sicherheitsaspekte oder bankrelevante Themen behandelt mit dem
29
IT-Sicherheit

Hinweis auf die angebliche


Homepage. Die in die
nachgebildeten Hompages
eingetragenen persönliche
Identifikationsnummern
und Transaktionsnummern
werden ausgefiltert und
stehen den Angreifern
unmittelbar für
unberechtigte
Finanztransaktionen auf
der richtigen Homepage zur
Verfügung.
Da das Phishing wegen
Beispiel, in der die Postbank auf gefälschte Home-Pages zum Zwecke des dessen Vorgehensweise
Phishings hinweist
nicht mehr den erhofften
Erfolg zeitigt, wurde es verfeinert zum Spear-Phishing. Bei dieser Methode werden die Opfer
ganz gezielt angegangen in dem sich die Phisher als alte Bekannte ausgeben und dazu
harmlose Informationen aus Social Networks benutzen. Das darüber aufgebaute Vertrauen
nutzen die Phisher um über Formulare einen Link anzuklicken über den eine Ominöse Software
geladen wird.

Phreaking Das Phreaking ist eine ältere Methode zu Umgehung von Telefonkosten, die ursächlich mit den
Vermittlungstechniken in Telefonnetzen und dort im Besonderen mit der Signalisierung
30
IT-Sicherheit

zusammenhängt. Die Kreativität der Phreaker, das sind Diejenigen die das Phreaking
beherrschen, hat sich nicht nur auf das Nachbilden von Signalisierungssequenzen beschränkt.
Phreaker analysieren und modifizieren die Schwachstellen der verschiedenen Einwahltechniken
und Bezahlformen, einschließlich der Telefonkarten oder Callingcards, und setzen die
Erkenntnisse konsequent zum eigenen kostenlosen Telefonieren ein.
Was die Signalisierung betrifft, so arbeiten Fernmeldenetze in den USA, in Kanada, Australien
und China mit der älteren C5-Signalisierung, die als Innenband-Signalisierung mit Zweiton-
und Mehrtonverfahren im Sprachkanal arbeitet, also keinen unabhängigen Signalisierungskanal
benutzt, wie beispielsweise das Signalisierungssystem Nr. 7 (CCS7). Die Steuersignale und -
sequenzen der C5-Signalisierung können somit direkt aus dem Sprachkanal ausgefiltert und
für eigene Zwecke missbraucht werden. Da die Betreibergesellschaften die Steuersequenzen
wegen des Phreaking ändern, arbeiten die Phreaker mit Frequenzscannern, die die Frequenzen
automatisch scannen, die Sequenzen aufzeichnen und das Ganze noch in einen Softwaredialer
einbringen. Über das Monitoring der Carrier können Phreaker mittels Fangschaltung erfasst
werden.
Das Phreaking, das besonders bei internationalen Verbindungen interessant ist, ist ein
globales Problem. National ist das Phreaking, bedingt durch die verwendete Außenband-
Signalisierung schwierig.

PnP-Sicherheit Plug-and-Play (PnP) ist ein Schnittstellenkonzept für das konfliktfreie Anschließen von
plug and play security Peripheriegeräten an einen Personal Computer. Das schnelle Erkennen der angeschlossenen
Peripheriegeräte bietet aber nicht nur Vorteile, sondern auch diverse Risiken, da durch
unberechtigten Zugriff wichtige Daten aus den Personal Computern (PC) kopiert, ebenso aber
auch Daten, Viren und Trojaner über die Plug-and-Play-Schnittstelle in das Firmennetz
31
IT-Sicherheit

eingespeist werden können. In diesem Zusammenhang darf die Entwicklung der Mobilspeicher
wie dem USB-Stick nicht außer Acht gelassen werden. Dieses Risiko wird durch drahtlose
Schnittstellen wie Wireless-USB noch erhöht, da der Anwender häufig nicht erkennen kann,
wer mit seinem Computer gerade kommuniziert. Die Betriebssysteme bieten keine Möglichkeit
der Schnittstellenkontrolle.
Sicherheitsaspekte von Schnittstellen ist daher ein Thema der Netzwerk- und IT-Sicherheit.
Bei der Absicherung der Schnittstellen kommt es auf die konsequente Umsetzung der
Sicherheitsregeln an. Diese Umsetzung kann durch Sicherheitsmodule vorgenommen werden,
die die Nutzung der PnP-Geräte überwachen. Die Echtzeitüberwachung von Schnittstellen und
Peripheriegeräten ist ein Punkt bei der Lösung der Schnittstellen-Sicherheitsproblematik, die
automatische Geräteerkennung und schnelle Freigabe ein weiterer. Die PnP-Geräte, die eine
Zugangsberechtigung haben, werden zentral oder direkt am Arbeitsplatz über Fernzugriff
registriert. Die Einstellungen können entweder direkt im Active Directory von Windows oder im
NetWare Directory Service (NDS) zentral verwaltet werden.

Risiko Unter Risiko versteht man die Wahrscheinlichkeit für den Eintritt eines Schadensfalles. Ein
risk solches Schadensereignis kann in der IT-Technik durch bestimmte Schwachstellen in den
Systemen, Komponenten, Kommunikationsnetzen oder Software auftreten, die zufällig oder
vorsätzlich ausgenutzt werden. Das bedeutet, dass die Sicherheit der Systeme unmittelbar
von dem Risiko abhängig ist: Je höher das Risiko, desto geringer ist die vorhandene Sicherheit
und umgekehrt. Das Risiko beginnt da, wo die Sicherheit aufhört. Je höher die Sicherheit
veranschlagt wird, desto geringer ist das Risiko.
Werden die risikobehafteten Schwachstellen durch methodische Verfahren ermittelt, spricht
man von Risikoanalyse. Bei einer solchen Analyse werden technische und menschliche
32
IT-Sicherheit

Schwachstellen erforscht, damit die Häufigkeit und die Länge der Schadensfälle eingeschränkt
und reduziert werden kann. Die Ergebnisse der Risikoanalyse fließen in das
Risikomanagement ein.
Risiken lassen sich klassifizieren nach den Objekten, den Aktivitäten, den Urhebern und der
Ursache, nach der Häufigkeit und der Schadenshöhe.

Risikoanalyse Die Risikoanalyse arbeitet mit methodischen Verfahren und beschäftigt sich mit der Erkennung
risk analysis und Bewertung von Gefahren und
Bedrohungen, denen die
Informationssysteme ausgesetzt sind.
Sie erforscht menschliche und
technische Schwachstellen um die
Schadensfälle zu analysieren und
deren Häufigkeit und Dauer zu
reduzieren.
Neben der analytischen Bewertung des
Risikos und der Abschätzung der
Wahrscheinlichkeit zukünftiger
Faktoren der Risikoanalyse
Gefahren, geht es bei der
Risikoanalyse um die Konsequenzen und die Kosten, die sich aus den Ausfallzeiten der IT-
Systeme und einem möglichen Datenverlust ergeben.
Die Ergebnisse der Risikoanalyse gehen unmittelbar in das Risikomanagement ein.

33
IT-Sicherheit

Sabotage Im Kontext mit ITWissen.info und den darin behandelten Themenbereichen der
Datenkommunikation und der Informationstechnik ist Sabotage als ein vorsätzlicher Eingriff in
ein System, Netzwerk oder Programm um dessen Funktion zu beeinträchtigen und den
wirtschaftlichen Ablauf zu stören. Sabotage gefährdet die Daten- und Netzwerksicherheit
sowie die Informations- und IT-Sicherheit. Sie stellt eine Bedrohung dar und kann sich auch
auf die Beschädigung von Einrichtungen oder Systemen beziehen.
Im Gegensatz zur Manipulation setzt die Sabotage kriminelle Energie voraus.

Schwachstelle Der Begriff Vulnerability, zu Deutsch Schwachstelle, wird in der Informationssicherheit in dem
vulnerability Sinne benutzt, als dass es sich um einen Fehler der Software handelt, der von Hackern
genutzt werden kann und ihnen den Zugriff auf Systeme oder Netzwerke ermöglicht. In
Zusammenhang mit den Common Vulnerabilities and Exposures (CVE) geht es bei der
Vulnerability um die Verletzung der Sicherheitspolitik eines IT-Systems durch einen Angreifer.
Das Vulnerability Management (VM) erarbeitet Verfahren und Prozesse um die
sicherheitsrelevanten Schachstellen in IT-Systemen zu erkennen und beseitigen.

Schwachstellen- Das Vulnerability Management (VM) befasst sich mit den sicherheitsrelevanten Schachstellen
management in IT-Systemen. Mit dem VM-Management sollen Prozesse und Techniken erarbeitet werden,
VM, vulnerability mit denen zur Steigerung der IT-Sicherheit eine Sicherheitskonfiguration in Unternehmen
management eingeführt und verwaltet werden kann. Das Vulnerability Management umfasst die
Schwachstellenanalyse unter Berücksichtigung der in den Standards BS 7799 resp. ISO 17799
detailliert beschriebenen Faktoren Mensch, Maschine, Umgebung und Daten.
Darüber hinaus spielt beim VM-Management das Common Vulnerability Scoring System
(CVSS), mit dem ein Rating- Index erstellt wird, eine wesentliche Rolle.
34
IT-Sicherheit

Sicherheit Unter Sicherheit sind alle technischen und organisatorischen Maßnahmen zu verstehen die
security Daten schützen. Dieser Schutz wird bei den Bedienenden realisiert, in Systemen und
Computern, bei der Übertragung sowie in Diensten und Anwendungen. Unter Berücksichtigung
des möglichen Gefährdungspotentials werden Sicherheitsmechanismen implementiert, die das
Eindringen in Systeme, das Abhören der Übertragungswege, die Manipulation, die Sabotage
und das Löschen von Datensätzen verhindern soll.
Zu den personenbezogenen Schutzmechanismen gehören die Autorisierung und
Authentifizierung durch Passwörter oder persönlicher Identifikationsnummer (PIN),
biometrische Daten oder Signaturen. Die systembezogenen Sicherheitskriterien gehören zur
IT-Sicherheit und umfassen technische und organisatorische Maßnahmen. Dazu gehören die
Installation eigener Sicherheitsarchitekturen mit Firewalls, das Sicherheitsmanagement und
die Schlüsselverwaltung.
Kennzeichnend für die übertragungstechnische Sicherheit, die Netzwerksicherheit und die
Internetsicherheit, sind die Verschlüsselungsverfahren und die Datenübertragung mit
Sicherheitsprotokollen. Anwendungsorientierte Schutzmaßnahmen haben branchenspezifische
Eigenschaften, wie beispielsweise bei geschäftlichen Transaktionen, bei denen digitale
Signaturen und Transaktionsnummern die Sicherheit verbessern.
Unter Sicherheit fallen alle Kriterien, die die Integrität, Verfügbarkeit, Vertraulichkeit,
Verbindlichkeit, Betriebssicherheit und Authentizität betreffen.

Sicherheits-ID Die Sicherheits-ID (SID) dient der eindeutigen Identifizierung eines Benutzer in einem
SID, security identifier Sicherheitssystem. Sicherheits-IDs können einzelnen Personen oder ganzen Benutzergruppen
zugewiesen werden.
Bedingt durch die Vielzahl an Benutzernamen ist es möglich dass im Netz viele
35
IT-Sicherheit

Doppeldeutigkeiten auftreten, die entsprechende Probleme verursachen. Aus diesem Grund


wird mit dem Security Identifier (SID) jedem Benutzer eine eindeutige Kennung zugewiesen,
die kein anderer Benutzer hat. Mit der SID-Kennung, die von den Betriebssystemen
unterstützt werden, werden dem Benutzer in aller Regel auch Rechte zugewiesen und er ist im
gesamten Netzwerk unter dieser SID-Kennung identifizierbar. Wird der Benutzername aus dem
Netzwerk gelöscht, dann erlischt auch sein Security Identifier.
Unter Windows besteht der Security Identifier aus der Revisionsnummer des Betriebssystems,
der Identifier Authority, der Domain-ID und der Benutzer-ID.

Sicherheitsarchitektur Die Sicherheitsarchitektur der ISO bildet den zweiten Teil des OSI-Referenzmodells und ist die
security architecture Basis für die Integration von Sicherheit in offenen Kommunikationssystemen. Die OSI-
Sicherheitsarchitektur beschreibt keine bestimmte Technologie, wie Sicherheit in offenen
Systemen erreicht wird, sondern sie befasst sich mit den Sicherheitsaspekten in offenen
Kommunikationssystemen und definiert die zugehörige Gedanken- und Begriffswelt sowie
Richtlinien und Maßnahmen um vorhandene Standards zu verbessern und neue zu entwickeln.
Die OSI-Sicherheitsarchitektur stellt die Beziehungen zwischen den Sicherheitsdiensten und -
mechanismen mit den Schichten des OSI-Referenzmodells her. Die verschiedenen
Sicherheitsdienste und -mechanismen sind auf allen sieben Schichten des OSI-
Referenzmodells angesiedelt; von der Bitübertragungsschicht bis hin zur Anwendungsschicht.

Sicherheitsdienst Sicherheitsdienste sollen Angriffe abwehren. Es handelt sich dabei um Technologie-


security service unabhängige Sicherheitsmaßnahmen, die durch ihre Leistungsmerkmale genau definiert sind
und in die Schichtenstruktur der Sicherheitsarchitektur eingebunden werden. Die fünf primären
Sicherheitsdienste Vertraulichkeit, Integrität, Authentifizierung, Zugriffskontrolle und
36
IT-Sicherheit

Unwiderrufbarkeit werden durch


Sicherheitsmechanismen realisiert.
Neben den genannten
Sicherheitsdiensten gibt es weitere, die
detaillierter sind, wie die
Unversehrtheit der Nachricht oder der
Kommunikationsnachweis. Jeder
Sicherheitsdienst basiert auf einem
oder mehreren
Sicherheitsmechanismen.
Ein Sicherheitsdienst ist die
Vertraulichkeit, mit der sichergestellt
wird, dass nur Befugte auf
entsprechende Informationen zugreifen
können. Sie schützt vor passiven
Angriffen und damit vor dem
unbefugten Mitlesen von übertragenen
Nachrichten und gespeicherten
Informationen. Bei den aktiven
Angriffen steht die Veränderung der
Information und die damit
einhergehende Reaktion des
Sicherheitsdienste und deren -mechanismen Empfängers im Vordergrund. Die
Vertraulichkeit basiert auf den
37
IT-Sicherheit

Sicherheitsmechanismen Verschlüsselung und Integrität.


Der Sicherheitsdienst Datenintegrität überprüft die Datenunversehrtheit und zeigt an ob
Datenströme verändert, manipuliert, modifiziert, gelöscht oder vertauscht wurden.
Ein weiterer Sicherheitsdienst ist die Zugriffskontrolle, die durch entsprechende Mechanismen
die Möglichkeiten des unberechtigten
Zugriffs auf Programme und Daten
weitestgehend eingeschränkt. Mit der
Vertraulichkeit wird sichergestellt, dass
Informationen nur für Befugte zugänglich
sind. Die Authentifikation des
Kommunikationspartners und des
Ursprungs der Nachrichten, der
Empfänger- und Urhebernachweis, sind
weitere sicherheitsrelevante Dienste.

Sicherheitsinfrastruktur Unter einer Public Key Infrastructure (PKI)


PKI, public key versteht man eine Umgebung, in der
infrastructure Services zur Verschlüsselung und
digitalen Signatur auf Basis von Public-
Key-Verfahren bereitgestellt werden. Bei
dieser Sicherheitsstruktur wird der
öffentliche Schlüssel eines
Zertifikatnehmers (ZN) mit den
Strukturierung der PKI
entsprechenden Identifikationsmerkmalen
38
IT-Sicherheit

durch eine digitale Signatur von einer Zertifizierungsinstanz (CA) autorisiert.


Die Instanzen der Sicherheitsinfrastruktur sind dabei für das gesamte Schlüssel-Management
zuständig. Der Einsatz von PKI bietet eine vertrauenswürdige Netzwerkumgebung, in der
Kommunikation vor unberechtigtem Zugriff durch Verschlüsselung geschützt und die
Authentizität des Kommunikationspartners durch die digitale Signatur gewährleistet ist. Die
verschiedenen Anwendungen der PKI sind kryptografisch geschützt. Dazu gehören der Schutz
von E-Mail-Anwendungen, von Desktopsystemen und von webbasierten Anwendungen, von E-
Commerce, sowie die Zugriffskontrollen und die sichere Kommunikation in VPNs.
Die PKI nutzt zwei Schlüssel mit einer typischen Länge von 1024 bis 2048 Bit. Einen privaten,
den nur der Besitzer und die Zertifizierungsstelle kennen und der auch nie ausgelesen oder
verschickt wird, sowie einen öffentlichen Schlüssel, der dem jeweiligen Geschäftspartner
bekannt gemacht werden muss.
Die PKI-Architektur besteht aus den Instanzen Policy Certification Authority (PCA),
Certification Authority (CA), Registration Authority (RA) und dem Zertifikatnehmer, die
unterschiedliche Aufgaben realisieren. Darüber hinaus umfasst das PKI-Modell mehrere
Funktionseinheiten wie das Key Management Center (KMC), die Time Stamping Authority
(TSA) und das Key Recovery Center (KRC).
Der ausgezeichnete Teil der PKI wird als Trust Center bezeichnet.
Eine Sicherheitsinfrastruktur muss für den Endbenutzer transparent sein, allerdings sollten die
genauen Abläufe des Schlüssel- und Zertifikatmanagements vor dem Benutzer verborgen
bleiben. Er sollte aber in der Lage sein, auf einfache Art und Weise die Services zu nutzen.

Sicherheitsmanagement Das OSI-Sicherheitsmanagement ist einer von fünf Funktionsbereichen des OSI-Managements
SM, security management
und hängt mit der Zielspezifikation der Benutzerverwaltung unmittelbar zusammen.
39
IT-Sicherheit

Sicherheitspolitische Aspekte müssen ethische und gesetzliche Komponenten ebenso


berücksichtigen wie rechtliche, organisatorische und wirtschaftliche Voraussetzungen.
Das Sicherheitsmanagement (SM) umfasst den Schutz von Informationen. Dies kann sich auf
den Schutz von Objekten, von Diensten und Ressourcen auswirken. Zu den
Sicherheitsmaßnahmen gehören u.a. die Authentifizierung, die Passwortverwaltung und die
Zugriffsberechtigung auf Netze und LAN-Segmente.
Sicherheitsbetrachtungen müssen unter der Prämisse geplant werden, dass Informationen
einen Wert darstellen, der quantifiziert und qualifiziert werden kann.
Die Datenbasis des OSI-Sicherheitsmanagements bildet die Security Management Information
Base (SMIB). Die OSI-Sicherheitsarchitektur kennt drei Management-Kategorien: System
Security Management, Security Services Management und Security Mechanismen Management.
Die Abwicklung des Sicherheitsmanagements zwischen den Endsystemen erfolgt über
Sicherheitsprotokolle. Dabei müssen die Sicherheitsprotokolle und die übertragenen
Management-Informationen geschützt werden.

Sicherheitspolitik In der Sicherheitspolitik werden die Regeln und Verfahrensweisen festgelegt, nach denen die
security policies Datenübermittlung, -verarbeitung und -speicherung erfolgen. Sie berücksichtigt personelle,
technische, organisatorische und rechtliche Einflussfaktoren.
Bei den personellen Einflussfaktoren geht es um das Bedienpersonal, der Zuverlässigkeit,
Sensibilität und Vertrauenswürdigkeit. Es geht um die Antworten auf Fragen wie „Wer darf auf
welche Daten zugreifen?“ oder „Wer ist für die Sicherheitspolitik verantwortlich?“
Die technischen Einflussfaktoren sind geprägt durch die vorhandenen Computer, die Art und
Sensibilität der Daten und der Software, aber auch durch räumliche Gegebenheiten, die Art der
eingesetzten Übertragungsmedien und -techniken, sowie die Anzahl der Prozesse usw. Bei der
40
IT-Sicherheit

Technik stellen sich Fragen hinsichtlich der Daten, der Art der Vermittlung oder der
Verkehrsbeziehungen. So beispielsweise: „Welche Verkehrsbeziehungen sind erlaubt?“ oder
„Auf welcher Schicht werden die Sicherheitsdienste installiert?“.
Bei den organisatorischen Einflussfaktoren handelt es sich um solche, die sich mit den
Arbeitsabläufen der Benutzer beschäftigen. Bei diesen Einflussfaktoren geht es um die vielen
sicherheitsrelevanten Aspekte, wie „An wen werden Alarme gemeldet?“ oder „Welche
Maßnahmen sind zu treffen, damit die Sicherheitspolitik eingehalten wird?“.
Darüber hinaus muss sich die Sicherheitspolitik auch nach den Gesetzen und rechtlichen
Vereinbarungen richten. Zu nennen sind das Bundesdatenschutzgesetz (BDSG),
Signaturgesetz (SigG), Teledienstdatenschutzgesetz (TDDSG) und andere. Letztlich geht es
auch um die Rechtsverbindlichkeit der Informationen, um deren Urhebernachweis oder
Kommunikationsnachweis.

Sicherheitsprotokoll Sicherheitsprotokolle erhöhen die Sicherheit des Datenverkehrs in Kommunikationsnetzen. Sie


security protocol können auf allen Schichten des Kommunikationsmodells eingesetzt werden und besitzen
verschiedene Verschlüsselungstechniken, mit denen die Authentisierung gesichert wird oder
die zu übertragenden Daten codiert werden.
Eines der bekannteren im LAN-Umfeld eingesetzten Sicherheitsprotokolle auf der
Vermittlungsschicht ist das PPP-Protokoll. Dieses Protokoll wird vorwiegend für
Netzwerkanschlüsse verwendet, die auf Einwahlverbindungen basieren. In der IP-
Kommunikation gehört IPsec zu den standardisierten Protokollen. Daneben ist das Tunneling-
Protokoll PPTP zu nennen und das für die Verschlüsselung der PPTP-Datenpakete dienende
Microsoft Point to Point Encryption Protokoll (MPPE).
Die auf der Vermittlungsschicht arbeitenden Sicherheitsprotokolle wie das PAP-Protokoll, das
41
IT-Sicherheit

SSH-Protokoll oder RADIUS unterstützen die Authentisierung und den Passwortschutz. Für die
Sicherung von Tunnel-Verbindungen ist L2Sec zu nennen. In den höheren Schichten dienen die
Sicherheitsprotokolle zur Verschlüsselung der Anwendungen, so beispielsweise das SSL-
Protokoll und das TLS-Protokoll.

Sicherheitsrichtlinie Sicherheitsrichtlinien sind unternehmensspezifische Regeln in denen die Ziele für alle
security directive sicherheitsrelevanten Arbeitsgebiete festgelegt sind.
In Unternehmen definieren die Sicherheitsrichtlinien die Regeln, die die Mitarbeiter, die an der
Ausarbeitung der Richtlinien beteiligt sein sollten, in ihrem Arbeitsgebiet beachten müssen.
Zu den wichtigsten Interessengruppen in einem Unternehmen gehören die Sicherheits- und
Netzwerkadministration, Arbeitnehmervertreter, Vertreter der Nutzergruppen und der
Geschäftsführung. Die ausgearbeiteten Sicherheitsrichtlinien sollten von den Nutzern
umgesetzt und akzeptiert werden, sie sollten die Sicherheit des Netzwerks und der Systeme
gewährleisten und die Rechte und Pflichten der Nutzer, der Administration und der
Geschäftsführung klar regeln. Bestandteile der Sicherheitsrichtlinien umfassen die
Beschaffung der Software, Computer- und Netzwerktechnik und die darin realisierten
Sicherheitsstandards, die Zugriffsberechtigungen und alle Maßnahmen die dem Datenverlust
und der Abwehr von Angriffen dienen, die Betriebs- und Wartungsrichtlinien und das
Reporting, um nur einige zu nennen.
In die Sicherheitsrichtlinien fließen die nationalen und internationalen Sicherheitsstandards
für die Bewertung und Zertifizierung von IT-Systemen ein. Dazu gehören die europäischen
Information Technology Security Evaluation Criteria (ITSEC), die amerikanischen Trusted
Computer Security (TCSEC) und die Common Criteria for Information Technology Security

42
IT-Sicherheit

Evaluation (CC). Außerdem befasst sich Kapitel 1 des britischen Standards BS 7799 für das
Sicherheitsmanagement mit den Sicherheitsrichtlinien für das Management und für die
Betreuung der IT-Sicherheit.

Sicherheitsstufe Der Safety Integrity Level (SIL) ist ein Verfahren zur Ermittlung des potentiellen Risikos von
SIL, safety integrity level Personen, Systemen, Geräten und Prozessen im Falle einer Fehlfunktion. Die Basis für die
Spezifikationen, den Entwurf und Betrieb von sicherheitstechnischen Systemen (SIS) bildet der
IEC-Standard 61508.
IEC 61508 bietet ein kohärentes Framework in dem alle früheren Sicherheitsregularien
berücksichtigt sind. Dazu gehören die in Deutschland bekannten Sicherheitsnormen DIN/VDE
19250, DIN/VDE 19251 und DIN/VDE 801. Der 61508-Standard definiert die Sicherheit in
Abhängigkeit vom Grad der Beschädigung und der Wahrscheinlichkeit, die eine bestimmte
Anwendung hinsichtlich einer
risikorelevanten Situation hat.
61508 hat eine eigene
Risikobewertung mit der die
Sicherheits-Integritätslevel (SIL)
für die Geräte und Systeme mit
Sicherheitsaufgaben ermittelt
werden. Der IEC-Standard kennt
die vier SIL-Level SIL1 bis SIL4, die
als Sicherheitsausführungen von
elektrischen und elektronischen
SIL-Level des IEC-Standards 61508
Geräten definiert sind. Im SIL-Wert
43
IT-Sicherheit

drückt sich die spezifizierte Sicherheitsfunktion im Fehlerfall aus: Mit welcher


Wahrscheinlichkeit arbeitet das System im angeforderten Fehlerfall (PFD).
Beim SIL-Level 1 ist die Gefahr oder das wirtschaftliche Risiko relativ gering und die
Verfügbarkeit des der sicherheitstechnischen Systeme mit 90 % oder 10 %
Fehlerwahrscheinlichkeit akzeptabel.
Das Risikopotential wird in technischen Einrichtungen, verfahrenstechnischen Anlagen, in der
Automotive-Technik, in Maschinen, Aufzügen, programmierbaren Steuerungen, IT-Anlagen und
-Systemen bestimmt.

Sicherheitsvereinbarung Security Associations (SA) sind Sicherheitsvereinbarungen, die zwei mittels IPsec miteinander
SA, security association kommunizierende Instanzen vor der Kommunikation untereinander austauschen. Diese
Sicherheitsvereinbarungen werden für den Authentification Header (AH) und den Encapsulated
Security Payload (ESP) jeweils individuell getroffen. Sie gelten für die unidirektionale
Kommunikation, also nur für eine Übertragungsrichtung. Da eine Kommunikation bidirektional
erfolgt, sind mindestens zwei Sicherheitsvereinbarungen für die Übertragung erforderlich: eine
für beispielsweise für die Verschlüsselung eines Datenpakets, die zweite für die
Authentifizierung.
Security Associations sind die grundlegende individuelle Basis jeder IPSec-Verbindung. Sie
definieren exakt, wie der Host oder das Security Gateway eine Verbindung zur Zielkomponente
aufbauen und erhalten muss. Eine Security Association ist stets einzigartig und wird durch
drei wesentliche Komponenten beschrieben: Den Security Parameter Index (SPI) die IP-
Zieladresse und den Security Protocol Identifier.
Zur Vereinfachung des Verfahrens benutzt man so genannte Domain of Interpretation (DOI),
in der die verschiedenen Parameter festgelegt sind.
44
IT-Sicherheit

Snooping Unter Snooping versteht man das Abhören einer Verbindung auf einem Broadcast-Medium,
einem Chat oder der Internettelefonie. Der Mithörende, beispielsweise ein Hacker, kann
dadurch in den Besitz von vertraulichen Daten wie Passwörter kommen.
Neben dem genannten Snooping gibt es noch das Bus-Snooping bei dem jeder Teilnehmer auf
dem Hostbus Adressen anderer Teilnehmer mitlesen kann.

Spam Spams, Spam-Mails oder auch Junk-Mails, sind unverlangt zugesendete E-Mails und SMS. Das
spam mail können auch Newsartikel sein, die an viele Newsgroups verteilt werden. Im normalen
Sprachgebrauch sind damit unerwünschte Nachrichten gemeint, an denen man kein Interesse
hat. Eine Spam-Mail ist vergleichbar einer nicht angeforderten postalischen Wurfsendung. Die
unerwünschten elektronischen Massenaussendungen werden auch als Unsolicited Bulk E-Mail
(UBE) bezeichnet, die kommerziellen E-Mails als Unsolicited Commercial E-Mail (UCE).
Für die Aussendung von Spams gibt es spezielle Programme für das Internet. So können
Spam-Mails über Chats ebenso verbreitet werden wie über ICQ.
Die Kreativität der Spam-Autoren kennt kaum Grenzen. So sind Spam-Mails zu komplexen und
spezialisierten Anwendungen mutiert. Sie sind mit Flash-Animationen, versteckten Inhalten
oder Spyware bestückt. Zur Verhinderung von Spams gibt es Spam-Filter gegen unerwünschte
Massen-E-Mails, E-Mail-Filter zur inhaltlichen Filterung von E-Mails nach Text- und Anhängen
sowie Web-Filter zur Blockierung von unerwünschten E-Mail-Adressen.
Die Organisationen MAPS und CAUCE haben sich speziell mit der Verhinderung von Spam-Mails
auseinander gesetzt und bieten verschiedene Listen mit den Server-Adressen, von denen
regelmäßig Spams versandt werden.

Spoofing 1. In der Netzwerktechnik ist Spoofing eine Technik zur Reduzierung des Bandbreitenbedarfs
45
IT-Sicherheit

im Internetworking. Mit dieser Technik wird der Netzwerk-Overhead reduziert und dadurch die
Kosten bei der Übertragung über Weitverkehrsnetze ebenso wie die Netzauslastung gesenkt.
Das Spoofing reduziert zyklisch gesendete Nachrichten, wie Netzwerkmanagement-
Informationen, dadurch, dass ein Router als Proxy arbeitet und für ein angeschlossenes
Remote-Gerät antwortet. Durch das Spoofing erscheint dem LAN-Gerät beispielsweise eine
Verbindung als noch bestehend, obwohl sie bereits abgebaut wurde. Das hat bei
Weitverkehrsverbindungen den Vorteil, dass eine Verbindung beim Ausbleiben von Nutzdaten
nach einer gewissen Zeit abgebaut werden kann, obwohl sie normalerweise durch die
zyklischen Management-Datenpakete aufrechterhalten bleiben müsste.

2. In der Internet-Terminologie hat das Spoofing eine eigene Bedeutung, und zwar die
Angabe einer falschen Adresse. Durch die falsche Internetadresse täuscht jemand vor, ein
autorisierter Benutzer zu sein. Maßnahmen gegen das Spoofing, die den Missbrauch von IP-
Adressen verhindert, nennt man Anti-Spoofing.
Es gibt das IP-Spoofing, DNS-Spoofing, WWW-Spoofing und ARP-Spoofing, die mit simulierter
IP-Adresse anhand der Host-Adresse oder des Domainnamen oder mit der Zuordnung
zwischen IP- und Hardwareadresse fungieren.

Spyware Der Begriff Spyware ist eine Wortschöpfung aus Spy (Spionieren) und Ware. Es handelt sich
dabei um eine Software, die das Online-Verhalten von Webnutzern, das sich im Surfen
ausdrückt, ausspioniert und dieses Wissen an andere weitergibt. Aus den Ergebnissen, die in
der Regel in Tabellen gespeichert und über E-Mails an den Urheber gesendet werden, können
Rückschlüsse auf das Werbeverhalten gezogen und die Werbewirksamkeit durch gezielten
Einsatz von abgestimmten Methoden gesteigert werden.
46
IT-Sicherheit

Spyware wird als unerwünschte Software auf Workstations installiert, sie verhält sich
penetrant und ist potenziell gefährlich. Der Zweck ist die Bereicherung des Urhebers. Sie wird
durch Trojaner und mit E-Mails auf den Anwender-PC heruntergeladen.
Spyware kann dann zu einer ernsthaften Gefahr werden, wenn vertrauliche Informationen des
angemeldeten Nutzers weitergegeben werden. Dazu gehören u.a. die Abfolge der
Tastatureingaben, der Benutzername, der Hashwert des Administrator-Passwortes, E-Mail-
Adressen, Kontaktdaten sowie Anmelde- und Nutzungsinformationen zu Instant-Messaging.

TCSEC, trusted computer Die Trusted Computer Security (TCSEC) ist ein Kriterienkatalog für die Sicherheit von IT-
security Systemen. Der von der amerikanischen NCSC entwickelte und vom US-amerikanischen
Verteidungsministerium 1985 herausgegebene Kriterienkatalog dient US-Firmen zur Bewertung
von sicherheitsrelevanten Maßnahmen. Aufbauend auf dem in den 80er Jahren definierten
TCSEC wurden diverse Maßnahmenkataloge für verschiedene Länder und die Nato entwickelt.
International werden die Common Criteria (CC) verwendet, die aus den ITSEC und den TCSEC
entwickelt wurden.

trap door Trap Doors gehören zu den potentiellen Gefahren von IT-Systemen. Dabei handelt es sich um
Falltür eine versteckte Funktionalität mit der versucht wird die Sicherheitsfunktionen eines IT-
Systems zu Durchdringen oder zu Umgehen. Die Trap Door oder auch Backdoor ist eine
implementierte Befehlsfolge für einen Angriff auf ein IT-System. Trap Doors werden auch zum
Testen von Programmen benutzt oder bewusst von Entwicklern eingebaut um sich einen
späteren unberechtigten Zugang zu dem System zu verschaffen. Aktiviert werden solche
Falltüren durch eine bestimmte Zeichen- oder Ereignisfolge eines Client oder Servers.
Trap-Door-Funktionen sind relativ leicht zu berechnen, allerdings ist es ohne die Kenntnis des
47
IT-Sicherheit

Geheimschlüssels nicht möglich aus dem funktionalen Wert (y) das entsprechende Argument
(x) zu berechnen.

Trojaner Unter einem Trojaner, auch als trojanischen Pferd bezeichnet, versteht man ein Programm, das
trojan neben seiner eigentlichen Funktion noch weitere, unbekannte Funktionen aufweist. Bei seiner
Ausführung richtet ein trojanisches Pferd Schaden »von innen« an. Dabei werden
Datenbestände und Passwörter ausspioniert und über das Internet versendet, ebenso aber
auch Systemkonfigurationen verändert oder gelöscht. Trojaner missbrauchen Computer und
rüsten in diesen zusätzliche Funktionen nach, mit denen sie Zugangsdaten, Passwörter und
Seriennummern erfassen oder die Remote-Eigenschaften und die Systemadministration
beeinträchtigen, so beispielsweise als Spyware, zur Aussendung von Spams oder für Angriffe
auf Server. Trojaner verbreiten sich über Anhänge von E-Mails, aber auch über Tauschbörsen.
Trojaner kann man dadurch verhindern, indem man keine Software aus unbekannten Quellen
auf seinen Computer lädt oder diese vorher durch einen Virenscanner checkt.

Virus In den 90er Jahren hat sich in kurzer Zeit das Virus-Problem von einer theoretischen zu einer
virus realen Bedrohung für Computer und Datennetze entwickelt. Viren sind Schadprogramme, die
alle Rechner, Programme und Dateien angreifen und schädigen. Daher unterscheidet man bei
den Viren zwischen Computerviren, Dateiviren, Systemviren und Bootviren.
Ein typisches Computervirus ist ein einfaches Programm, das sich selbst reproduziert, sich in
normalen Programmen versteckt und dessen Zweck es ist, durch Infizierung andere Soft- und
Hardware zu behindern oder zu zerstören. Wenn infizierte Programme ablaufen, stecken sie
auch andere Programme und andere Computer an, mit denen sie in Kontakt kommen. Wenn
ein Computervirus einmal ein Programm befallen hat, dann kann er Programme zerstören,
48
IT-Sicherheit

Daten vernichten, Zahlenwerte


in einer Tabellenkalkulation
verändern, Festplatten neu
formatieren und damit ihren
gesamten Datenbestand
vollständig vernichten oder
jeden nur möglichen Schaden
anrichten, den der
Programmierer des Virus
eingeplant hat.
In fast allen Fällen bleibt der
Virus unbemerkt, während er
sein Zerstörungswerk vollbringt.
Auch die Virenerkennung mittels
Virenscannern gestaltet sich
Programmablauf ohne und mit Virenprogramm
zunehmend schwieriger, da sich
Viren verändern können, wie polymorphe Viren, und neuere Viren Tarnfunktionen besitzen, wie
der Stealth Virus, und sich vor Virenscannern verbergen können.
Viren werden über das Internet verbreitet, und zwar über die Dateianhänge von E-Mails und
Software-Downloads. Sie werden in Datenbanken von Wildlist als ITW-Viren erfasst und
stehen Anwendern unter http://www.wildlist.org zur Verfügung.

WLAN-Sicherheit Der von der Arbeitsgruppe 802.11i für WLANs definierte Sicherheitsstandard hatte einige
WLAN security Lücken und wurde daher vollkommen überarbeitet und neu definiert. Mit der Neudefinition sind
49
IT-Sicherheit

herstellerübergreifende WLAN-Sicherheitslösungen in allen Netzkonfigurationen möglich,


unabhängig von den eingesetzten Produkten.
Generell bezieht sich die WLAN-Sicherheit als Teil des WLAN-Managements auf den
Zugangsschutz der Teilnehmer durch Authentifizierung und den Schutz vor der Einwahl in
unberechtigte Access Points (AP). Darüber hinaus müssen die Sicherheitslösungen
sicherstellen, dass Unberechtigte die über Funk empfangenen Datenströme nicht auswerten
können. Da sich der Empfang von Funksignalen in einer entsprechenden Entfernung nicht
verhindern lässt, müssen geeignete Maßnahmen in Form von Verschlüsselung eingesetzt
werden, damit die verschlüsselten Datenpakte nicht entschlüsselt und ausgewertet werden
können. Des Weiteren muss die WLAN-Sicherheit auch die Manipulation von Datenströmen
erkennen und verhindern können. Dies kann mittels zyklischer Blockprüfung (CRC) erfolgen.
Der Schlüsselaustausch über das WLAN ist ein weiterer Punkt, der besonders bei
symmetrischer Verschlüsselung, bei der Sender und Empfänger mit gleichem Schlüssel
arbeiten, Probleme aufwirft. Daher arbeiten WLANs häufig beim Schlüsselaustausch mit
asymmetrischer Verschlüsselung und in der Übertragung mit symmetrischer Verschlüsselung.
In diesem Zusammenhang ist das WEP-Protokoll (Wired Equivalent Privacy) zu nennen, das in
802.11 definiert wurde. Darüber hinaus das Counter Mode With CBC-MAC Protocol (CCMP) und
das Wireless Robust Authentication Protocol (WRAP).
Da das WEP-Protokoll einige Schwächen hat, werden neben diesem Sicherheitsprotokoll mit
statischen Schlüsseln weitere mit dynamischer Schlüsselvergabe eingesetzt. So das EAP-
Protokoll und das von der WiFi-Allianz definierte WiFi Protected Access (WPA).
802.11i hat ein ausgefeiltes Sicherheitskonzept mit einer umfassenden Schlüsselhierarchie,
die neben einem Master Key (MK), Pairwise Master Key (PMK), Pairwise Transient Key (PTK)
sowie weitere daraus abgeleitete Schlüssel kennt.
50
IT-Sicherheit

Wurm Ein Wurm ist ein infizierter Programmcode, der sich normalerweise über die vorhandene
worm Infrastruktur, über Netzwerkverbindungen oder den Anhang von E-Mails ausbreitet und auf
anderen Systemen Schaden anrichtet. Würmer können auch das Adressbuch des Benutzers für
die Verbreitung benutzen.
Würmer sind schädliche, autonome Programmroutinen, die sich, sobald sie codiert und
freigesetzt werden, automatisch vervielfältigen um möglichst viele Rechner zu befallen. Sie
dringen über Sicherheitslücken in die Systeme ein und richten dort Schaden an, indem sie
unerwünschte Aktionen auslösen. Das können Nachrichten sein, die plötzlich auf dem
Bildschirm erscheine; sie können aber auch Dateien löschen, Festplatten formatieren oder den
Prozessor mit sinnlosen Aufgaben eindecken.

51
Impressum
IT-Sicherheit

Herausgeber

Klaus Lipinski
Datacom-Buchverlag GmbH
84378 Dietersburg

ISBN: 978-3-89238-192-1

IT-Sicherheit
E-Book, Copyright 2010

Trotz sorgfältiger Recherche wird für die angegebenen Informationen


keine Haftung übernommen.

Dieses Werk ist unter einem Creative Commons


Namensnennung-Keine kommerzielle Nutzung-Keine
Bearbeitung 3.0 Deutschland Lizenzvertrag lizenziert.
Erlaubt ist die nichtkommerzielle Verbreitung und Vervielfältigung ohne das
Werk zu verändern und unter Nennung des Herausgebers. Sie dürfen dieses
E-Book auf Ihrer Website einbinden, wenn ein Backlink auf www.itwissen.info
gesetzt ist.

Layout & Gestaltung: Sebastian Schreiber


Titel: © Hunta - Fotolia.com

Produktion: www.media-schmid.de
Weitere Informationen unter www.itwissen.info

52