Sie sind auf Seite 1von 7

Umschulung Fachinformatiker - Systemintegration

Institut für
Personaltraining
und Beratung

IT-Sicherheit-Arbeitsblatt mit Stichwörtern

IT-Sicherheit-Maßnahmen
Digitale Identität Registrierung und Anmeldung als eine digitale Identität, um auf
Dienst zu greifen zu können.

Sammlung elektronischer Daten, Attribute.


Schutzmaßnahmen Authentifizierung
Verschlüsselung, digitale Signaturen
Firewall
Regelmäßige Updates
Sandboxing, minimale Berechtigungen
Datensparsamkeit
Back-Ups
Back-Ups Komplett-Vollsicherung der Daten
Speicherabbildsicherung
Differenzielle Sicherung
Inkrementelle Sicherung
Backupstrategien: FIFO (First-in, First-out; Großvater-Vater-Sohn;
Türme von Hanoi)
Echtzeitanwendungen: Hot oder Cold Backup
Kriterien der Datensicherungsstrategien: Art, Wert,
Änderungshäufigkeit, gesetzliche Anforderungen, Speicherort,
Zeitaufwand, Anforderungen
Zugriffskontrolle, Berechtigungen festlegen.
Nutzungsrechte
Authentifizierung Identifikation einer digitalen Identität des Nutzers.
Autorisierung Auf welche Ressourcen und Dienste darf zugriffen werden, dazu
braucht es vorausgehende Authentifizierung.

Login-Vorgänge Bei einem Passwort-basierten Login sollten


Passwörter immer gehasht werden, der Anbieter soll also
Passwortverschleierung anwenden, um die Nutzerpasswörter zu
speichern.
Hashing von Passwort wird mit Hilfe von Hash-Funktion verschleiert.
Passwörtern Sicheres Verfahren: SHA-2
Sicheres Passwort Min. 8 Zeichen besser 12
Unterschiedliche Zeichenklassen (aK123§$)
Nicht aus Wörterbuch
Nicht aus Nutzerkontext

Stand 2020-10-19 Verfasser: Kerstin Metko


Umschulung Fachinformatiker - Systemintegration

Institut für
Personaltraining
und Beratung

Keine Wiederverwendbarkeit
Passwörter schützen Sicheres Passwort wählen
Passwörter verschleiern
Passwortmanager (offline, online)
Einmalpasswörter

Multi-Faktor- Wissen (Passwort, PIN)


Authentisierung Besitz (Zertifikat, USB-Token)
Biometrie (Fingerabdruck, Iris)
Zugriffsschutz Firewall (Regeln, lokal, Netzwerk)
Passwort
Kryptografie Klassische Kryptografie

Kerckhoffs´ Prinzip

Symmetrische Verfahren (DES, AES)

Asymmetrische Verfahren (RSA, PKI, Diffie-Hellmann, …)

Kryptografische Prüfwerte (Hashfunktionen, SHA, MD-5, digitale


Signaturen)
Wichtige Eigenschaft Kollisionsresistenz
einer Hashfunktion
wie SHA1 bis SHA-3 SHA2 gilt momentan als sicher

Digitale Signaturen Basiert auf Public-Key-Verfahren (PKI wie bspw. RSA)

Nachweis der Unverfälschtheit von Nachrichten

Nachricht wird signiert durch


Verschlüsselung mit privaten Schlüssels des Absenders

Nicht das gesamte Dokument wird verschlüsselt, sondern nur


Hash-Wert (=Fingerabdruck) des Dokuments
Sicherheitsziele der Authentizität
digitalen Signatur Integrität
Nichtabstreitbarkeit

Schutzmaßnahme bei - Sensibilisierung der Nutzer


Phishing - Überprüfung der Identität
- Sichere Authentifizierung

Stand 2020-10-19 Verfasser: Kerstin Metko


Umschulung Fachinformatiker - Systemintegration

Institut für
Personaltraining
und Beratung

- Verantwortungsvoller Umgang mit persönlicher


Information
- Überprüfung der Absenderadresse
- Anforderungen von sensiblen Daten bei Dienstanbieter
bestätigen lassen
- Beim Folgen eines Links, diesen Linken kontrollieren
Schutzmaßnahmen - Windows-Computer nur mit Account nutzen, der keine
Rootkits und Adminrechte besitzt
Backdoors - Regelmäßige Sicherheitsupdates
Schutzmaßnahmen - Achtsamkeit (was klickt man an)
bei Adware - Bei Installation darauf achten, dass keine ungewollten
Hilfsprogramme mit installiert werden
- Virenscanner verwenden
- Adblocker anwenden
Schutzmaßnahmen - Software nicht herunterladen
bei Scareware - Hotline nicht anrufen
- Links nicht anklicken
- Virenscanner verwenden
- Schließen der Scareware
- Neustart des PCs erzwingen, falls dieser blockiert ist
Schutzmaßnahmen - BSI rät das Lösegeld nicht zu zahlen
bei Ransomware - Backups erstellen
- Virenscanner installieren
Schutzmaßnahmen - Programm-Updates
gegen Malware - Antivirenprogramme (auf neuesten Stand)
- Back-Ups, Sicherungskopien, automatische,
verschlüsselte Backups
- Firewall (lokal, Netzwerk)
- Gesundes Misstrauen
- Bei Mobilen Geräten: Apps auf vertrauenswürdige
Quellen prüfen und nur minimale Rechte ermöglichen
Schutzmaßnahmen - Tor-Netzwerk (Onion-Router) + https
für anonymes Surfen Nachteil von Tor: Langsam, keine Sicherheit vor
kompromittierten Endknoten
Schutzmaßnahmen - Verschlüsselung mit WPA2 (teilweise unsicher)
für WLAN - MAC-Adresse filtern (unsicher)
- Verstecken der ESSID (unsicher)
- Generelle Vorsicht beim Surfen
- TLS/SSL-Verschlüsselung (empfohlen)
- VPNs verwenden (empfohlen) (IPsec, L2TP)
- WPS deaktivieren

Stand 2020-10-19 Verfasser: Kerstin Metko


Umschulung Fachinformatiker - Systemintegration

Institut für
Personaltraining
und Beratung

Schutzmaßnahmen - Verwendung digitaler Zertifikate und deren Warnungen


gegen Man-in-the- - Aufmerksamkeit des Nutzers
middle
Schutzmaßnahmen - Filterregeln der Firewall
gegen IP-Spoofing - Verbindungsorientierte Protokoll (TCP mit Ende-zu-Ende-
Verbindung)
- Authentifizierung (IPsec)
Schutzmaßnahmen - DNsec
gegen DNS-Spoofing - TLS/SSL-Verbindungen prüfen
Schutzmaßnahmen Signieren der Mails
gegen E-Mail-Spoofing S/MIME, Chain of Trust
PGP, Web of Trust
Schutzmaßnahmen - Sandbox
gegen Skripte im - Nur begrenzter Zugriff aus Ressourcen gewähren
Webbrowser - Same-Orgin-Policy verbietet JavaScript den Zugriff auf
Objekte wie DOM-Elemente
Schutzmaßnahmen - Nutzereingaben filtern
gegen SQL-Injections - Berechtigungen einschränken
- Direkte Verbindung von Nutzereingaben und Kommandos
nicht ermöglichen (Prepared Statements)
Schutzmaßnahmen - Nutzereingaben filtern nach Steuerzeichen
gegen XSS
Als Nutzer:
- nur den Links der Hauptwebseite folgen
- JavaScript deaktivieren
- Updates regelmäßig durchführen

Verschlüsselungsverfa Symmetrische Verfahren (Secret Key)


hren
Asymmetrische Verfahren (Secret + Public Key)

Hybride Verfahren
Schutzziele Vertraulichkeit
kryptografischer Integrität
Verfahren Authentizität
Verschlüsselung- Kodieren
Stichwörter Dekodieren
Ein-Schlüssel- DES
Verfahren SHA-Hashwerte wie SHA2 oder AES256
Zwei-Schlüssel- Public-Key-Verfahren
Verfahren RSA
Zertifikat von Trust Center, um das Trust-Problem zu lösen

Stand 2020-10-19 Verfasser: Kerstin Metko


Umschulung Fachinformatiker - Systemintegration

Institut für
Personaltraining
und Beratung

Trust-Problem bei 2- Sicherheit hängt von richtiger Zuordnung der öffentlichen


Schlüsselverfahren Schlüssel zu den Teilnehmern ab. Gelingt es einem Angreifer, den
öffentlichen Schlüssel für den eines Teilnehmers auszugeben,
kann dieser alle Nachrichten entschlüsseln und Nachrichten
fälschen. Bei Aufbau einer HTTPS-Verbindung muss die Identität
des Kommunikationspartners mit Zertifikation überprüft werden,
geschieht dies nicht sind Man-in-the-Middle-Angriffe möglich.
PKI-Infrastruktur und Software- und Hardwarekomponenten, Personal, Bereitstellung,
Trust Center Verteilung, Verwendung, Annullierung von Zertifikaten

Trust Center mit Registrierungsstelle,


Zertifizierungsstelle, Validierungsstelle
Hybride Kombiniert
Verschlüsselungsmeth Ein- und Zwei-Verschlüsselungsverfahren
ode
IPsec
TLS/SSL, https
E-Mail-Verschlüsselung (PGP, GPG)
Hashverfahren Einwegfunktion, die Hash-Wert (wie z. B. digitalen Fingerabdruck
eines Dokuments) erstellen.

Eindeutig zuweisbar (kollisionsresistent)

Umkehrfunktion ist schwer errechenbar

Integrität sichern
Verschlüsselungsprot IPSec
okolle, -verfahren in L2TP
Netzwerken SSL
SSH
WPA
Tor-Netzwerk Darknet
Rechte Computersabotage
Hackerparagraph

IT-Sicherheit und Sicherheitsanforderungen analysieren


Softwareentwicklung Sicherheitskonzept erstellen
Anonymisierung
Bedrohungs- und Risikoanalyse (Kategorien, Schätzung der
Wahrscheinlichkeit,

Backupvarianten Volles Backup


Inkrementelles Backup

Stand 2020-10-19 Verfasser: Kerstin Metko


Umschulung Fachinformatiker - Systemintegration

Institut für
Personaltraining
und Beratung

Differenzielles Backup
Snapshots

Datenschutz BDSG
DSGVO
Integrität und Authentizität von Daten
(z. B. digitale Signaturen)
Personenbezogene “Personenbezogene Daten sind Einzelangaben über persönliche
Daten oder sachliche Verhältnisse einer bestimmten oder
bestimmbaren natürlichen Person (Betroffener)” (DSGVO §3 Abs.
1)
Datenschutz und Authentifizierung
Archivierung Zugangskontrollen
Firewall
Berechtigungskonzepte
Zertifikationsbasierte Zugriffsberechtigung VPN
Verschlüsselung
Backupkonzepte

getrennte Verarbeitung und Speicherung personenbezogener


Daten

Verhältnismäßigkeit

Pflichten = Protokolldateien, Logging, Benutzeridentifikation,


Weisungsbefugnis, Datenschutzvertrag, Kontrollrechte

Aufbewahrungsfristen:
Meldung Datenschutzvorfalls 72 Stunden
Bewerbungsunterlagen 6 Monate
Rechnungen, Lieferscheine 6 Jahre
Lohnabrechnung 10 Jahre
Arbeitsrecht 30 Jahre
IT- 1. Risiken
Datensicherheitskonz 2. Datensicherheit
ept 3. Datensicherungsmethoden
Datenschutz bei Löschung je nach Datenträger
Entsorgung Datenlösch-Software (3-fach-Überschreibung)
Physikalische Löschung
Vernichtung

Stand 2020-10-19 Verfasser: Kerstin Metko


Umschulung Fachinformatiker - Systemintegration

Institut für
Personaltraining
und Beratung

https://www.bsi-fuer-
buerger.de/BSIFB/DE/Empfehlungen/RichtigLoeschen/richtigloes
chen_node.html

Hackerparagraphen § 202c Vorbereiten des Ausspähens und Abfangens von Daten


§ 303b StGB, Computersabotage

Links Verschlüsselung:
https://vimeo.com/164694316
https://vimeo.com/165273154

Stand 2020-10-19 Verfasser: Kerstin Metko