Sicherheit im Informationsalltag

www.kaderali.de/
Sicherheit im Informationsalltag
Firoz Kaderali
Sicherheit im Informationsalltag
(Inhalt I)







Kaderali 25.01.2016
Passwörter, PINs und TANs
Phishing
Spams
Cookies
Malware
Cloudcomputing
Verschlüsselung
2
Sicherheit im Informationsalltag
(Inhalt II)





Kaderali 25.01.2016
Bluetooth
Smartphones
Mobilfunk
Navigationssysteme
WLan
3
Sicherheit im Informationsalltag
(Inhalt I)
 Passwörter, PINs und TANs






Phishing
Spams
Cookies
Malware
Cloudcomputing
Verschlüsselung
Kaderali 25.01.2016
4
Passwörter
Ein Passwort (Schlüssel) ist eine
Zeichenfolge, die es ermöglicht ein Konto oder
eine Datei (Tresor) zu öffnen. Sie wird also zur
Authentifizierung verwendet.
Häufig werden nur Zahlenfolgen, immer mehr
Zahlenfolgen mit klein und groß Buchstaben
und auch Sonderzeichen (ASCII-Zeichen)
eingesetzt.
Kaderali 25.01.2016
5
Passwörter
Bei Banken werden Passwörter PIN (Personal
Identification Number)1 genannt zur
Authentifikation von Personen eingesetzt. Sie
ermöglichen es der authentifizierten Person
Einblick in sein Konto oder Depot zu nehmen.
1http://de.wikipedia.org/wiki/Pers%C3%B6nliche_Identifika
tionsnummer
Kaderali 25.01.2016
6
Passwörter
Beispiele von Passwörter:




Hotelsafe, Länge üblicherweise 4 Ziffern
Bankkonto, Depot, Geldautomaten,
Kreditkarten, üblicherweise 4 Ziffern
Konten bei Online Shops, Zugang zu
Firmennetzen, Zugang zu Mailkonten etc. 8
bis 12 Zeichen.
Bei SW und Geräteschutz 64 bis 128 Zeichen.
Kaderali 25.01.2016
7
Passwörter
Heute wird die Richtigkeit einer PIN auf einer
Karte maschinell gewöhnlich wie folgt überprüft:
Die Maschine liest die verschlüsselte PIN von
der Karte heraus, entschlüsselt sie und
vergleicht die über die Tastatur eingegebene PIN
hiermit. Bei Übereinstimmung wird der Zugang
zu Datei, Konto oder Geld gewährt.
Kaderali 25.01.2016
8
Passwörter
Bei 4 Ziffern liegt die Wahrscheinlichkeit eine
PIN richtig zu raten bei 1: 104 also eins zu
zehntausend. Damit man nicht alle zehntausend
Ziffern ausprobieren kann, wird die Anzahl der
Versuche gewöhnlich auf drei beschränkt. Der
Zugang wird bei drei Falscheingaben dann gesperrt
und kann entweder über eine übergeordnete PIN
(Master PIN) oder durch Eingriff des
Kontobetreibers entsperrt. Bei drei Versuchen liegt
die Wahrscheinlichkeit eine PIN mit 4 Ziffern zu
knacken bei 3/10000 also 1 zu 3333.
Kaderali 25.01.2016
9
Passwörter
Empfehlung des BSI zu Passwörtern:
https://www.bsi-fuerbuerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.ht
ml
Kaderali 25.01.2016
10
Passwörter
Zitat aus BSI Empfehlung (1):
Ein gutes Passwort:



Sollte mindestens zwölf Zeichen lang sein.
Es sollte aus Groß- und Kleinbuchstaben sowie
Sonderzeichen und Ziffern bestehen.
Tabu sind Namen von Familienmitgliedern, des
Haustieres, des besten Freundes, des
Lieblingsstars oder deren Geburtsdaten und so
weiter.
Wenn möglich sollte es nicht in Wörterbüchern
vorkommen.
Kaderali 25.01.2016
11
Passwörter
Zitat aus BSI Empfehlung (2):
Ein gutes Passwort:


Sollte nicht aus gängigen Varianten und
Wiederholungs- oder Tastaturmustern bestehen.
Einfache Ziffern am Ende des Passwortes
anzuhängen oder eines der üblichen Sonderzeichen
$ ! ? #, am Anfang oder Ende eines ansonsten
simplen Passwortes zu ergänzen ist auch nicht
empfehlenswert.
Kaderali 25.01.2016
12
Passwörter


Außerdem soll man das Passwort regelmäßig
erneuern. Empfehlung FernUni alle 2 Monate!
Passwörter nie aufschreiben!
Wie soll dies bei meinen gut 100 Passwörtern gehen?
Ein Passwortverwaltungsprogramm oder Tresor
verwenden!
Kaderali 25.01.2016
13
Passwörter
Passwortverwaltungsprogramme:



http://de.wikipedia.org/wiki/KeePass
http://www.mobilesitter.de/index_de.php
http://www.passwordsafe.de/
Bedenken!


Hat man Vertrauen zu dem Hersteller des
Verwaltungsprogramms?
Will man den notwendigen Mehraufwand betreiben?
Kaderali 25.01.2016
14
Passwörter
Kompromissvorschlag:
Drei oder vier Kategorien der eigenen
Anwendungen bilden nach Sicherheitsbedarf:
 Kategorie 1: BSI Empfehlungen für jedes
Passwort folgen

Kategorie 2: Gleiches Passwort für je 5
Anwendungen. BSI-Nah!

Kategorie 3: Gleiches Passwort für alle
Anwendungen. Gelegentlich erneuern.
Kaderali 25.01.2016
15
Passwörter
Um die Sicherheit bei Bankgeschäften zu erhöhen
werden neben der Authentifikation durch eine PIN, die
den Einblick in ein Konto gewährt, auch eine
Authentifikation der einzelnen Transaktionen durch
ein einmal verwendbares (meist fünfstelliges)
Passwortes TAN (Transaction Authentication
Number)1 genannt vorgenommen.
1http://de.wikipedia.org/wiki/Transaktionsnummer
Kaderali 25.01.2016
16
Passwörter


Früher erhielt der Bankkunde eine TAN Liste, von
der er die TANs nacheinander zur Authentifikation
von Transaktionen (also z.B. von Überweisungen)
verwenden konnte.
Inzwischen werden die TANs durchnummeriert
(indizierte TAN-Liste) und der Kunde wird pro
Transaktion zur Eingabe einer TAN mit einer
bestimmten Nummer aufgefordert. Hierdurch wird
die Sicherheit des Verfahrens erheblich verbessert.
Kaderali 25.01.2016
17
Passwörter


Verfahren mit TAN-Listen haben den Nachteil, dass
man sie zur Durchführung einer Transaktion dabei
haben muss. Noch schlimmer, die Listen können
Kopiert oder gestohlen werden.
Es gibt zahlreiche Phishing-Attacken, die darauf
zielen, nicht verbrauchte TANs samt Indexnummern
zu ergattern.
Kaderali 25.01.2016
18
Passwörter
Die Man-in-the-middle Attacke ist ein ernsthaftes
Risiko für das indizierte TAN-Verfahren. Bei diesem
Verfahren wird eine Schadsoftware eingesetzt, die
sich zwischen dem Kundenrechner und dem
Bankserver einschaltet und die Überweisungsdaten in
Echtzeit verfälscht. Es werden also die Kontonummer
des Empfängers und der Betrag manipuliert. Dem
Bankkunden werden dann auch verfälschte Daten
angezeigt, die seiner Überweisung entsprechen.
Somit wird das Bankkonto geplündert.
Kaderali 25.01.2016
19
Passwörter
Beim Mobile TAN Verfahren (auch SMS TAN
genannt) wird zu einer Transaktion die beim
Bankserver ankommt, dem Teilnehmer per SMS eine
TAN und die Details der Transaktion auf sein Handy
zugesandt. Der Teilnehmer kann dann durch Eingabe
der TAN die Transaktion frei geben.
Kaderali 25.01.2016
20
Passwörter


Beim Mobile TAN sollte man darauf achten, dass
Online-Banking und das TAN-Verfahren nicht vom
selben Gerät ausgeführt wird, damit jemand, der
das Handy entwendet nicht ungehindert
Überweisungen tätigen kann.
Inzwischen gibt es kombinierte Attacken gegen das
Mobile TAN Verfahren bei dem sowohl der Rechner
des Bankkunden als auch sein Handy mit
Schadsoftware befallen wird. Insofern ist das
Verfahren nicht mehr als sicher einzustufen.
Kaderali 25.01.2016
21
Passwörter (TAN I)
Um die man-in-the-middle Attacke zu unterbinden
wurden von verschiedenen Banken elektronische
TAN Generatoren entwickelt. Die Einzelheiten der
jeweiligen Ausführungen sind unterschiedlich jedoch
das Prinzip ist identisch. Von dem Generator wird unter
Einbeziehung der Daten der Transaktion (Betrag,
Empfängerkonto etc.) eine individuelle TAN erstellt, die
der Kunde eingibt, um die Transaktion zu tätigen.
Kaderali 25.01.2016
22
Passwörter (TAN II)
Diese TAN ist zeitlich begrenzt d.h. sie gilt nur für eine
kurze Zeit, die gerade ausreicht die Transaktion zu
tätigen. Bei dem Bankserver wird mit den gleichen
Daten eine TAN erzeugt und die beiden werden in
Echtzeit verglichen. Zur Kontrolle werden meist die
Transaktionsdaten vom Bankserver dem Kunden erneut
zugesandt. Das Verfahren gilt als ausreichend sicher.
Kaderali 25.01.2016
23
Passwörter
Bild aus http://de.wikipedia.org/wiki/Transaktionsnummer
Kaderali 25.01.2016
24
Passwörter
Bild aus http://de.wikipedia.org/wiki/Transaktionsnummer
Kaderali 25.01.2016
25
Passwörter

Bild aus http://de.wikipedia.org/wiki/Transaktionsnummer
Kaderali 25.01.2016
26
Passwörter
Das BSI empfiehlt für Online Banking unter anderem
folgendes (1)1:
 Für Online Banking stets verschlüsselte
Verbindung (https://...) verwenden
 Ggf. auch WLAN verschlüsseln
 Prüfen Sie die Echtheit der Bank WEB-Seite (auch
Browserangabe hierzu ansehen!)
 Online Banking nur vom eigenen Gerät.
1
https://www.bsi-fuerbuerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/Sicherheit
smassnahmen/sicherheitsmassnahmen_node.html
Kaderali 25.01.2016
27
Passwörter
Das BSI empfiehlt für Online Banking ferner (2)1:
 Kein Online Banking über öffentliche Access Points
(z.B. Internetcafé)
 Überweisungslimit mit Bank vereinbaren
 Regelmäßig Kontobewegungen überprüfen
 Telefonbanking ist ganz unsicher. Möglichst nicht
verwenden!
1
https://www.bsi-fuerbuerger.de/BSIFB/DE/SicherheitImNetz/OnlineBanking/Sicherheit
smassnahmen/sicherheitsmassnahmen_node.html
Kaderali 25.01.2016
28
Sicherheit im Informationsalltag
(Inhalt I)
Passwörter, PINs und TANs
 Phishing
 Spams
 Cookies
 Malware
 Cloudcomputing
 Verschlüsselung

Kaderali 25.01.2016
29
Phishing
Phishing1 ist der Versuch durch Täuschung der
eignen Identität im Internet Daten eines anderen
Teilnehmers zu erhalten um damit Betrug zu betreiben
oder sie zu Werbezwecke zu missbrauchen. Das Wort
Phishing erinnert an Fishing d.h. Angel werfen um
Fische zu fangen. Hier geht es um Angel werfen um
Passwörter und andere persönliche Daten zu fangen
(Ph = Password harvesting).
1 http://de.wikipedia.org/wiki/Phishing
Kaderali 25.01.2016
30
Phishing
Phishing wird gewöhnlich durch verfälschte WEB
Seiten, Emails oder SMS eingeleitet. Der Ahnungslose
Teilnehmer glaubt mit einem serösen Partner zu
kommunizieren und gibt freiwillig persönliche Daten
Preis.
Kaderali 25.01.2016
31
Phishing
Beispiel Phishing:
Man erhält eine E-Mail die so aussieht wie wenn sie von
der eigenen Bank käme und fordert einen auf, seine Daten
zu aktualisieren oder PINs und TANs einzugeben. Die EMail zeigt zwar als Absender die Internet Adresse der
Bank an, ist aber gefälscht und sieht täuschend echt aus.
Meist enthält sie im HTML Format einen Link den man
anklicken soll, um die geforderten Daten einzugeben. Der
Link zeigt zwar die WEB Adresse der Bank an, führt aber
zu einer gefälschten Seite. Gibt man die geforderten
Daten dort ein, hat man sie verraten.
32
Phishing
Maßnahmen gegen Phishing:


Meist genügt eine gebührende Vorsicht Phishing
Attacken zu erkennen.
Viele Browser und E-Mailserver zeigen es an, wenn es
sich um eine Phishing WEB Seite oder E-Mail handelt.
Kaderali 25.01.2016
33
Phishing
Das BSI rät1 nur gesicherte Seiten (https://…) für
Dateneingaben zu verwenden. Hier kann man auf den
Schlüsselsymbol klicken um anzusehen von wem die
WEB Seite stammt und wer sie zertifiziert hat.
1
https://www.bsi-fuerbuerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/
schutzmassnamen_node.html
Kaderali 25.01.2016
34
Phishing
Ferner rät das BSI1, dass man den Browser so einstellt,
dass bevor aktive Inhalte ausgeführt werden, man
gefragt wird, ob sie durchgeführt werden sollen. Hier
Vorsicht walten lassen!
Es gibt zu bedenken: Banken oder seriöse Firmen
fordern ihre Kunden niemals per E-Mail oder per Telefon
zur Eingabe von vertraulichen Informationen auf!
1
https://www.bsi-fuerbuerger.de/BSIFB/DE/GefahrenImNetz/Phishing/Schutzmassnamen/
schutzmassnamen_node.html
Kaderali 25.01.2016
35
Sicherheit im Informationsalltag
(Inhalt I)
Passwörter, PINs und TANs
 Phishing
 Spams
 Cookies
 Malware
 Cloudcomputing
 Verschlüsselung

Kaderali 25.01.2016
36
Spams
Als Spams1 bezeichnet man elektronische
Mitteilungen, die einem unerwünscht und
unaufgefordert zugestellt werden. Meist handelt es sich
um Werbung.
1
http://de.wikipedia.org/wiki/Spam
Kaderali 25.01.2016
37
Spams
Ursprünglich war Spam1 ein Markenname für
Dosenfleisch.
Spiced ham = Spam
1 Bild
von http://de.wikipedia.org/wiki/Spam
Kaderali 25.01.2016
38
Spams
Während der Rationierung im zweiten Weltkrieg
war SPAM ein Nahrungsmittel das überall in
Großbritannien fast unbeschränkt verfügbar war. Man aß
und aß Spam bis es im Halse stecken blieb! Die
Wiederholung bei Mitteilungen im Internet bis man sie
nicht mehr sehen kann wird im übertragenen Sinne als
Spam bezeichnet.
Kaderali 25.01.2016
39
Spams
Der Anteil von Spam im Emailverkehr ist erheblich
– im 4. Quartal 2014 lag dieser bei rund 67% 1.
Seitdem ist er etwas gesunken.
Im November 2015 lag er bei 54%2.
Spams richten also einen großen wirtschaftlichen
Schaden an.
1
http://www.viruslist.com/de/analysis?pubid=200883871
2https://www.symantec.com/security_response/publications/
monthlythreatreport.jsp
09.05.2015
40
Spams
Nach deutschem Recht ist es verboten unaufgefordert
Werbung per Email zu verschicken. Außer für Werbung
werden Spams auch für verschiedene Betrügereien
(Phishing) eingesetzt.
Kaderali 25.01.2016
41
Spams
SPAMs Beispiele (1):

SPARKASSE [email protected]
IHR ONLINE-BANKING WIRD OHNE UMSTELLUNG GESPERRT
www-sparkasse.de/sicherheit/online-banking <http://atelierif.ro/wpadmin/www.spk.de/spk.sicherheit.htm>

Shoemaker, Helen [email protected]
FINALE GEWINNMITTEILUNG
Beigefügt ist die Originalkopie der preisgekrönte Anzeigeschreiben.
Kaderali 25.01.2016
42
Spams
SPAMs Beispiele (2):

James Gilliard [email protected]
Hallo
Einer meiner Mandanten verstarb vor zwei Jahren
Er hinterließ ein Vermögen in Wert von $18.515.000

UPS Tracking Support [email protected]
UPS, Tracking Number: 4896F3859466
<http://www.ups.com/img/de/email_header_blue.gif>
Wichtige Zustellinformationen
Kaderali 25.01.2016
43
Spams
SPAMs Beispiele (3):

JAMES ENTWISTLE [email protected]
*****SPAM***** PRIVATE AND VERY URGENT
US AMBASSADOR TO NIGERIA
I WANT TO INFORM YOU THAT YOUR UNSETTLE PAYMENT OF
$6.4MILLION UNITED STATE DOLLAR

Federal Bureau of Investigation
<[email protected]>
# Spam # Links und sonstige Funktionen wurden in dieser Nachricht
deaktiviert.
We bring to your notice that your Email address has been in our
database of scammed victims.
Kaderali 25.01.2016
44
Spams
Einige Tipps zur Vermeidung von Spams1 :





Autoresponder möglichst nicht anwenden
Auf Werbemails nicht antworten
Keine Links in Werbemails anklicken
Spamschutz einschalten (Dienstanbieter, Virenschutz)
Filter im Mailprogramm einrichten
1 https://www.bsi-fuer-
buerger.de/BSIFB/DE/GefahrenImNetz/Spam/Schutzmassnahmen/sc
hutzmassnahmen_node.html
Kaderali 25.01.2016
45
Sicherheit im Informationsalltag
(Inhalt I)







Kaderali 25.01.2016
Passwörter, PINs und TANs
Phishing
Spams
Cookies
Malware
Cloudcomputing
Verschlüsselung
46
Cookies
Ein Cookie1 (Keks oder Plätzchen) ist eine Textdatei
die von einer besuchten WEB-Seite über den Browser
beim Surfen im Internet im Rechner des Surfers
angelegt wird. Sie enthält im Wesentlichen Daten
über die besuchten WEB-Seiten, getätigten
Bestellungen usw.
1 http://de.wikipedia.org/wiki/Cookie
Kaderali 25.01.2016
47
Cookies
Einerseits sind Cookies nützlich für den Anwender,
da er beim Wiederbesuch der WEB-Seite erkannt
wird und bereits eingegebene Daten (Name,
Anschrift, Kontonummer etc.) nicht erneut
einzugeben braucht. Andrerseits können über
Cookies sehr detaillierte persönliche Profile erstellt
werden. Diese werden meist aber nicht nur für
Werbezwecke genützt.
Kaderali 25.01.2016
48
Cookies
Cookies dürfen nur von der WEB-Seite gelesen
werden, die sie angelegt hat.
Im Gegensatz zu Trojaner werden Cookies nicht
versteckt sondern für den Nutzer einsehbar und
löschbar.
Kaderali 25.01.2016
49
Cookies
Es gibt Session Cookies, die meist gelöscht werden
wenn man den Browser schließt und Dauer Cookies,
die für unbestimmte Dauer auf dem Rechner des
Anwenders bleiben. Cookies sollten gelegentlich
manuell gelöscht werden.
Kaderali 25.01.2016
50
Cookies
Man kann über den Browser einstellen, ob man
generell Cookies erlaubt oder nicht.
Bei manchen Anwendungen (z.B. Banken, Vereine,
Soziale Gruppen usw.) ist es zwingend Cookies zu
gestatten.
Man kann über den Browser einstellen, von welchen
Seiten Cookies angelegt werden dürfen.
Kaderali 25.01.2016
51
Cookies
Allerdings sind Cookies harmlos insofern als sie
keine ausführbaren Programme sind und deshalb
keine aktiven Funktionen ausüben1.
1 https://www.bsi-fuer-
buerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/DerBrow
ser/GefahrenRisiken/Cookies/cookies_node.html
Kaderali 25.01.2016
52
Cookies
Cookies werden zwar auf Ihrem Rechner abgelegt,
sie zu finden ist jedoch schwierig, da sie in
versteckten Dateien abgelegt werden.
Man muss also zunächst versteckte Dateien sichtbar
machen.
Kaderali 25.01.2016
53
Cookies
Man kann auch direkt die versteckte Datei angeben.
Bei Windows 8 lautet diese:
C:\Users\Kaderali\AppData\Local\Microsoft\Windows\
INetCookies\Low.
Kaderali 25.01.2016
54
Cookies
Beispiel 1 Cookies:
csm-hit s1H6CHJBF2MX3ZGCA06CQ|1411676922018
www.amazon.de/ 1088 1720753408 30400127
1274823749 30398719 *
optimizelySegments
%7B%22188132953%22%3A%22direct%22%2C%2218
9931954%22%3A%22false%22%2C%22189931955%2
2%3A%22ie%22%2C%22189977163%22%3A%22none
%22%2C%22567540727%22%3A%22true%22%7D
Kaderali 25.01.2016
55
Cookies
Beispiel 2 Cookies:
ki_t
1418734360719%3B1420395819281%3B1420395821
360%3B2%3B3
www.holidaycheck.de/ 1600 386724992 30786348
2432341663 30419019 *
ki_r www.holidaycheck.de 1600 386724992
30786348 2433122921 30419019 *
_pk_id.{145.e84c
9ed3e31968419cd8.1418734361.1.1418734362.14187
34361.
Kaderali 25.01.2016
56
Cookies
Beispiel 2 Cookies (Fortsetzung):
www.holidaycheck.de/ 1600 519713408 30562002
771293584 30415151 *
hcheck_de_session 2 www.holidaycheck.de/ 1600
3158728192 30419023 2342028130 30419019 *
tfm_rsi_segs reset www.holidaycheck.de/ 1600
3710691840 30421835 2342496970 30419019 *
POPUPCHECK 1420482214312
www.holidaycheck.de/ 1600 3070170880 30419220
2361715855 30419019 *
Kaderali 25.01.2016
57
Cookies
Beispiel 2 Cookies (Fortsetzung 2):
_pk_id.145.e84c
de1a6c0982facfcf.1420395820.1.1420395822.142039
5820.
www.holidaycheck.de/ 1600 2186212480 30565870
2437029218 30419019 *
_pk_ses.145.e84c *
www.holidaycheck.de/ 1600 3248728192 30419023
2437029218 30419019 *
yp_rec www.holidaycheck.de/ 1600 3093630080
30419020 2588593480 30419019 *
Kaderali 25.01.2016
58
Cookies
Beispiel 3 Cookies :
fewo-direkt.de/ 1600 1092024192 31136773 2306566858
30402518 *
optimizelyEndUserId
oeu1413308683272r0.2759210696317552
fewo-direkt.de/ 1600 1092024192 31136773 2306723102
30402518 *
optimizelyBuckets %7B%7D
fewo-direkt.de/ 1600 1092024192 31136773 2306723102
30402518 *
optimizelyPendingLogEvents %5B%5D
Kaderali 25.01.2016
59
Cookies
Beispiel 3 Cookies (Fortsetzung):
__utmz
212501891.1413308685.1.1.utmcsr=(direct)|utmccn=(dir
ect)|utmcmd=(none)
fewo-direkt.de/ 1600 1189610624 30439231 2328505392
30402518 *
__utmept marketing
fewo-direkt.de/ 1600 3144079488 30402522 2328349134
30402518 *
__utmep buchungsprozess
fewo-direkt.de/ 1600 3144079488 30402522 2328349134
30402518 *
Kaderali 25.01.2016
60
Cookies
Beispiel 3 Cookies (Fortsetzung 2):
__utmv 212501891.|6=Visitor%20Type=traveller=1
fewo-direkt.de/ 1600 2081563776 30549369 2328505392
30402518 *fewo-direkt.de/ 1600 2453948672 30402518
2310983778 30402518 *
_ga GA1.2.1269201438.1413308685
fewo-direkt.de/ 1600 2081563776 30549369 2327099396
30402518 *
_gat 1
fewo-direkt.de/ 1600 4028981376 30402519 2328036671
30402518 *
Kaderali 25.01.2016
61
Cookies
Beispiel 3 Cookies (Fortsetzung 3):
__utma
212501891.1269201438.1413308685.1413308685.1413
308685.1
fewo-direkt.de/ 1600 2081563776 30549369
2328974161 30402518 *
__utmb 212501891.1.10.1413308685
fewo-direkt.de/ 1600 3144079488 30402522
2328974161 30402518 *
Kaderali 25.01.2016
62
Sicherheit im Informationsalltag
Inhalt (I)







Kaderali 25.01.2016
Passwörter, PINs und TANs
Phishing
Spams
Cookies
Malware
Cloudcomputing
Verschlüsselung
63
Malware
Schadprogramme auch Malware1 genannt sind
Computerprogramme die auf einem Computer nicht
erwünschte und gar schädliche Funktionen
ausführen. Die Programmausführung ist getarnt und
läuft meist unbemerkt im Hintergrund.
1http://de.wikipedia.org/wiki/Schadprogramm
Kaderali 25.01.2016
64
Malware
Zu Malware gehören unter anderem







Kaderali 25.01.2016
Viren,
Würmer,
Trojaner,
Back door,
Spyware,
Adware und
Dailer.
65
Malware
Viren sind Schadprogramme die sich selbständig
verbreiten in dem sie Kopien von sich selbst in
Programme, Dokumente oder Datenträger schreiben.
Die Kopien tun das gleiche. Die Malfunktionen, die sie
ausüben können vielfältig sein.
Kaderali 25.01.2016
66
Malware
Würmer sind ähnlich wie Viren jedoch sie verbreiten
sich direkt über Netze oder andere Medien (z.B. USB
Stick).
Kaderali 25.01.2016
67
Malware
Trojaner sind Schadprogramme, die sich meist in
nützliche Wirtsprogramme einbetten und Malfunktionen
ausführen. Sie verbreiten sich durch Installation des
infizierten Wirtsprogramms. Sie werden auch verwendet
um weitere Malware zu verbreiten.
Kaderali 25.01.2016
68
Malware
Ein Back Door (Hintertür) ist eine versteckte
Softwarefunktion, die es ermöglicht die Authentifikation,
Virenschutz und ähnliche Kontrollmaßnahmen zu
umgehen um auf Soft- oder Hardware zuzugreifen.
Solche Zugriffsrechte ermöglichen es Daten zu
sammeln und weiter zu versenden oder Malware zu
verbreiten.
Kaderali 25.01.2016
69
Malware
Spyware sind Schadprogramme die ohne
Zustimmung und ohne Wissen des Anwenders
dessen persönliche Daten (vor allem Daten über
sein Verhalten) sammeln und versenden.
Kaderali 25.01.2016
70
Malware
Adware sind Schadprogramme die Werbung
verbreiten (Ad = Advertisement).
Kaderali 25.01.2016
71
Malware
Dialer sind Schadprogramme, die automatisch
Wählverbindungen herstellen.
Kaderali 25.01.2016
72
Malware
Folgendes Bild zeigt die Verbreitung von Malware
Das Bild stammt von http://de.wikipedia.org/wiki/Schadprogramm
Kaderali 25.01.2016
73
Malware
Das BSI empfiehlt1 bei Microsoft Betriebssystemen
dringend ein Virenschutz Programm zu verwenden, bei
Linux und Mac ist das nicht erforderlich.
Für den privaten Nutzer sind in der Regel kostenfreie
Antivirusprogramme ausreichend.
1 https://www.bsi-fuer-
buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogra
mme/virenschutzprogramme_node.html
Kaderali 25.01.2016
74
Malware
Das BSI empfiehlt1 bei Microsoft Betriebssystemen
dringend ein Virenschutz Programm zu verwenden, bei
Linux und Mac ist das nicht erforderlich.
Für den privaten Nutzer sind in der Regel kostenfreie
Antivirusprogramme ausreichend.
1 https://www.bsi-fuer-
buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogra
mme/virenschutzprogramme_node.html
Kaderali 25.01.2016
75
Malware
Das BSI empfiehlt1 bei Microsoft Betriebssystemen
dringend ein Virenschutz Programm zu verwenden, bei
Linux und Mac ist das nicht erforderlich.
Für den privaten Nutzer sind in der Regel kostenfreie
Antivirusprogramme ausreichend.
1 https://www.bsi-fuer-
buerger.de/BSIFB/DE/MeinPC/Schutzprogramme/Virenschutzprogra
mme/virenschutzprogramme_node.html
Kaderali 25.01.2016
76
Malware
Beispiele für kostenlose Antivirusprogramme sind:



Avira Free Antivirus (http://free-av.de)
avast! Free Antivirus
(https://www.avast.com/de-de/free-antivirusdownload). Eine verhaltensbasierte
Erkennung von Schadsoftware ist in dieser
Lösung bereits integriert
AVG Anti-Virus Free (http://free.avg.com/dede/startseite)
Kaderali 25.01.2016
77
Malware
Ich selbst verwende Sophos, das von der
FernUniversität (wie auch von vielen anderen
Universitäten) für ihre Studenten und Mitarbeiter
kostenlos zur Verfügung gestellt wird. Man kann sie
automatisch auf dem aktuellen Stand halten.
Kaderali 25.01.2016
78
Malware
Virenscanprogramme suchen nach Signaturen
(Fingerprints) von Schadprogrammen und
ermöglichen es, sie zu isolieren und zu entfernen.
Antivirussoftware sollte deshalb stets auf aktuellem
Stand gehalten werden!
Man sollte die Autoprotect Funktion einschalten –
damit wird bei jedem Start das Programm aufgerufen
und läuft im Hintergrund durch. Die Online Scan
Funktion Überwacht den Rechner in Echtzeit.
Kaderali 25.01.2016
79
Sicherheit im Informationsalltag
(Inhalt I)







Kaderali 25.01.2016
Passwörter, PINs und TANs
Phishing
Spams
Cookies
Malware
Cloudcomputing
Verschlüsselung
80
Cloud Computing
Unter Cloud Computing versteht man ein
dynamisches, Bedarfsorientiertes überall und
jederzeit verfügbares Angebot an IT-Leistungen
über das Netz.
Das Angebot umfasst Rechenleistung,
Speicherplatz, diverse IT- Dienste einschließlich
Anwendungsprogramme. Abgerechnet wird
nach tatsächlicher Nutzung.
Kaderali 25.01.2016
81
Cloud Computing
Nach NIST (US National Institute of Standards and
Technology) weisen Cloud Dienste folgende fünf
Merkmale auf 1:
 Bedarfsorientierte Selbstbedienung
 Verfügbar über standardisierte Netzschnittstellen
 Ressourcenteilung
 Schnell und flexibel automatisch konfigurierbar
 Ressourcennutzung wird überwacht und gemessen.
Abrechnung nach tatsächlicher Nutzung.
1
Peter Mell Timothy Grance, NIST Special Publication 800-145: The
NIST Definition of Cloud Computing
Kaderali 25.01.2016
82
Cloud Computing
Für den Anwender haben Cloud Dienste den Vorteil,
dass er keine Ressourcen vorhalten muss sondern
flexibel bei Bedarf unbegrenzt auf sie zugreifen
kann.
Kaderali 25.01.2016
83
Cloud Computing
Dafür treten zahlreiche sicherheitsrelevante Nachteile ein1 :
 Zugang zu Cloud Dienste ist über Endgeräte und Netze –
beide können ein Risiko darstellen
 Man vertraut private Daten einem Dritten zur Aufbewahrung. Es können Probleme bei der Datensicherung
(z.B. Klau durch Mitarbeiter), der Datenlöschung (es werden
mehrere Kopien an verschiedenen Orten gespeichert!) und
der Datenverschlüsselung (sowohl auf den
Übermittlungsstrecken als auch bei der Speicherung)
kommen.
1 https://www.bsi-fuer-
buerger.de/BSIFB/DE/SicherheitImNetz/CloudComputing/GefahrenRisiken/gefahren
risiken_node.html;jsessionid=B5BA549084F3137B569C82C32D922A6B.2_cid369
Kaderali 25.01.2016
84
Cloud Computing
Weitere sicherheitsrelevante Nachteile:



Es können Probleme bei Datenbackups und
Datenverlust geben.
Meist hat der Anwender keinen Überblick wo
sich die Daten befinden. Im Ausland?
Was ist, wenn Dienstanbieter Insolvenz
anmeldet?
Kaderali 25.01.2016
85
Cloud Computing
Fazit: Cloud Dienste sind mit erheblichen
Risiken verbunden und sollten von
Privatnutzern nicht verwendet werden.
Kaderali 25.01.2016
86
Sicherheit im Informationsalltag
(Inhalt II)







Kaderali 25.01.2016
Passwörter, PINs und TANs
Phishing
Spams
Cookies
Malware
Cloudcomputing
Verschlüsselung
87
Verschlüsselung
Verschlüsselungsverfahren1 werden eingesetzt
um die Vertraulichkeit von Nachrichten im Netz zu
gewährleisten. Sie können aber darüber hinaus auch
eingesetzt werden um die Integrität der Nachrichten
und deren Authentizität zu überprüfen.
1http://de.wikipedia.org/wiki/Verschl%C3%BCsselungsverfahren
Kaderali 25.01.2016
88
Verschlüsselung
Symmetrische Verschlüsselungsverfahren1
funktionieren wie folgt:
Die Nachricht m (eine Folge von Symbolen) wird vom
Sender mit einem Schlüssel k (auch eine Folge von
Symbolen) mathematisch verknüpft, um eine verschlüsselte
Nachricht c zu ergeben.
Die mathematische Verknüpfung E hat die Eigenschaft,
dass die verschlüsselte Nachricht c sinnlos und willkürlich
erscheint und ohne Kenntnis des Schlüssels k die
ursprüngliche Nachricht daraus nicht zu entziffern ist. Man
kann daraus auch den Schlüssel k nicht ableiten.
1http://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem
Kaderali 25.01.2016
89
Verschlüsselung
Kaderali 25.01.2016
90
Verschlüsselung
Symmetrische Verschlüsselungsverfahren1
funktionieren wie folgt (Fortsetzung):
Hat der Empfänger den (gleichen) Schlüssel k, kann er
die Verknüpfung erneut durchführen, um die
ursprüngliche Nachricht wieder zu erhalten.
Das Problem bei diesem Verfahren ist, dass man einen
sicheren Weg finden muss um den Schlüssel k vom
Sender zum Empfänger zu bringen.
In der Praxis werden deshalb Asymmetrische Verfahren
verwendet, um den Schlüssel zu übertragen.
Kaderali 25.01.2016
91
Verschlüsselung
Kaderali 25.01.2016
92
Verschlüsselung
Bei asymmetrischen Verschlüsselungsverfahren1
werden zwei aufeinander abgestimmte Schlüssel erstellt.
Der Schlüssel ke wird privater Schlüssel des Senders
genannt und wird zur Verschlüsselung der Nachricht m
verwendet und ist nur dem Sender der Nachricht bekannt
und wird geheim gehalten.
Der Schlüssel kd wird öffentlicher Schlüssel genannt
und wird in öffentlichen Verzeichnissen als der öffentliche
authentifizierte Schlüssel des Senders bekanntgegeben.
Damit ist er jedem zugänglich.
1http://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem
Kaderali 25.01.2016
93
Verschlüsselung
Kaderali 25.01.2016
94
Verschlüsselung
Die mathematische Verknüpfung E hat die
Eigenschaft, dass die verschlüsselte Nachricht c sinnlos
erscheint und daraus weder die Nachricht m noch der
Schlüssel ke abgeleitet werden kann.
Die mathematische Verknüpfung D hat die
Eigenschaft, dass sie aus der Verschlüsselten Nachricht
c wieder die ursprüngliche Nachricht m ableitet, dabei
bleibt der Schlüssel ke geheim.
Kaderali 25.01.2016
95
Verschlüsselung
Kaderali 25.01.2016
96
Verschlüsselung
Das Verfahren hat die Eigenschaft, dass man damit eine
Nachricht Verschlüsseln kann (Vertraulichkeit) aber
auch, dass die ursprüngliche Nachricht nicht verändert
werden kann (Integrität).
Man kann es außerdem verwenden, um die Authentizität
des Senders zu überprüfen. Hierzu legt man dem Sender
eine Nachricht zur Verschlüsselung vor. Kann man aus der
verschlüsselten Nachricht nun mit dem öffentlichen
Schlüssel und der Verknüpfung D die ursprüngliche
Nachricht wieder herstellen, so bedeutet dies, dass der
Sender den privaten Schlüssel ke kennt. Damit ist er
eindeutig identifiziert, denn nur er kennt diesen.
Kaderali 25.01.2016
97
Verschlüsselung
Die verwendeten mathematischen Verknüpfungen D
und E charakterisieren die jeweiligen Verschlüsselungsverfahren.
Auch die Erzeugung der Schlüssel muss sorgfältig
vorgenommen werden, denn es gibt starke und schwache
Schlüssel.
Wird die Verschlüsselung Bitweise oder Byteweise
vorgenommen (Stromchiffre) ist sie schnell. Wird sie
Blockweise vorgenommen (Blockchiffre) können
erhebliche Verzögerungen entstehen.
Kaderali 25.01.2016
98
Verschlüsselung
Symmetrische Verfahren sind gewöhnlich sehr schnell,
asymmetrische Verfahren dagegen meist
rechenintensiv und deshalb recht langsam. Deswegen
werden oft hybride Verfahren verwendet bei dem ein
asymmetrisches Verfahren zur gesicherten Schlüsselübertragung verwendet wird mit dem dann die Nachricht
symmetrisch verschlüsselt wird.
Kaderali 25.01.2016
99
Verschlüsselung
Das bekannteste symmetrische Blockchiffreverfahren ist
das DES-Verfahren (Data Encryption Standard)1. Mit
einer Blockgröße von 64 Bit und einer Schlüssellänge von
56 Bit wird er inzwischen als unsicher betrachtet. Eine
Variante bei der er dreimal angewendet wird (tripple DES)
wird als sicherer angesehen und heute noch verwendet.
1
http://de.wikipedia.org/wiki/Data_Encryption_Standard
Kaderali 25.01.2016
100
Verschlüsselung
Das bekannteste asymmetrische Verfahren ist das RSAVerfahren1 benannt nach Rivest, Shamir und Adleman,
die das Verfahren bei MIT entwickelten und 1977
veröffentlichten. Es gab viele Angriffe gegen das RSAVerfahren und es wurde immer weiter verbessert und
häufig gemeinsam mit anderen Verfahren eingesetzt. In
einer solchen Kombination wird es meist als sicher
betrachtet.
1 http://de.wikipedia.org/wiki/RSA-Kryptosystem
Kaderali 25.01.2016
101
Verschlüsselung
Solche kombinierten Verfahren werden in vielen
Anwendungen eingesetzt so z.B. bei E-Mails (PGP,
S/MIME), diversen Kryptoprotokollen (SSH, SSL) als
auch in der Browser-Server-Kommunikation (HTTPS).
Ende 2013 wurde dann bekannt, dass NSA (National
Security Agency der USA) einen Vertrag mit der Firma RSA
abgeschlossen hat, Hintertürchen (Back doors) in RSA
Produkte einzubauen1.
1 http://www.reuters.com/article/2013/12/20/us-usa-security-rsa-
idUSBRE9BJ1C220131220
Kaderali 25.01.2016
102
Verschlüsselung
Das Dilemma bei der Verschlüsselung ist:
Man kann einen hohen Aufwand betreiben um ein
Kryptosystem sicher zu machen, man muss aber auch
damit rechnen, dass ein Angreifer ebenso einen sehr
hohen Aufwand betreiben könnte, um das System zu
brechen.
Kaderali 25.01.2016
103
Verschlüsselung
Ein gravierender Schwachpunkt der Verschlüsselung
liegt in der Implementierung. Das mathematische Verfahren
kann sehr sicher gemacht werden, es gibt aber keine
Sicherheit, dass in der Implementierung nicht betrogen
wird, denn Software nach Sicherheit zu überprüfen
gestaltet sich schwierig. Hinzukommt, dass menschliche
Schwächen ausgenützt werden, um z.B. geheime Schlüssel
zu kompromittieren.
Kaderali 25.01.2016
104
Verschlüsselung
Fazit:
Verschlüsselung ist unbequem, aufwendig, verlangsamt
die Kommunikation und ist nicht absolut sicher. Sie wird
deshalb ungern eingesetzt.
Allerdings bietet sie eine gute Vertraulichkeit, denn sie
kann nicht ohne das entsprechende Know-how gebrochen
werden. Dokumente und Nachrichten sind somit durch eine
Verschlüsselung in der Regel gut geschützt.
Kaderali 25.01.2016
105
Verschlüsselung
Folgende Verfahren zur Verschlüsselung werden
heute für verschiedene Anwendungen eingesetzt:


PGP (Pretty Good Privacy)
S/MIME (Secure / Multipurpose Internet Mail
Extensions)


SSH (Secure Shell)
TLS (Transport Layer Security) früher SSL (Secret
Socket Layer)

HTTPS (Hypertext Transport Protocol / Secure)
Kaderali 25.01.2016
106
Verschlüsselung
PGP (Pretty Good Privacy)1
PGP wird zur Verschlüsselung von E-Mails verwendet und
kann eingesetzt werden um E-Mails vertraulich zu halten,
ihre Integrität zu wahren und den Sender der E-Mail zu
authentifizieren.
1 http://de.wikipedia.org/wiki/Pretty_Good_Privacy
Kaderali 25.01.2016
107
Verschlüsselung
PGP wurde von Phil Zimmermann entwickelt und 1991 in
der ersten Version gegen geltende US Gesetze weltweit
als freie Software verfügbar gemacht. Heute wird PGP
von der Firma Symantec in Kalifornien vertrieben und in
einer eingeschränkten Version auch als Freeware
Angeboten*.
* http://www.pgpi.org/
http://cryptography.org/getpgp.htm
http://de.wikipedia.org/wiki/GNU_Privacy_Guard
Kaderali 25.01.2016
108
Verschlüsselung
Die Verschlüsslung bei PGP wird, um Rechenaufwand
zu verringern (und somit die Geschwindigkeit des
Verfahrens zu erhöhen), in zwei Schritten durchgeführt.
Im ersten Schritt wird vom Sender ein symmetrischer
Schlüssel erzeugt und mit einem Asymmetrischen
Verfahren dem Empfänger der Nachricht übermittelt. Hierzu
wird meist das RSA-Verfahren, heute zunehmend auch das
auf diskreter Logarithmus basierendes Elgamal-Verfahren1
verwendet.
1 http://de.wikipedia.org/wiki/Elgamal-
Verschl%C3%BCsselungsverfahren
Kaderali 25.01.2016
109
Verschlüsselung
RSA Verschlüsselung in zwei Schritten
(Fortsetzung):
Im zweiten Schritt wird dann die Nachricht mit einem
symmetrischen Verfahren verschlüsselt übertragen. Für die
symmetrische Verschlüsselung wurde zunächst das DESVerfahren, dann das tripple DES und heute häufig das in
Europa von James L. Massey entwickelte IDEA-Verfahren1
oder ebenso in Europa von Joan Daemen und Vincent
Rijmen entwickelte AES-Verfahren2 verwendet.
1http://de.wikipedia.org/wiki/International_Data_Encryption_Algorithm
2http://de.wikipedia.org/wiki/Advanced_Encryption_Standard
Kaderali 25.01.2016
110
Verschlüsselung
S/MIME (Secure / Multipurpose Internet Mail
Extensions)1
S/MIME ist eine alternative zu PGP (insbesondere free
PGP) und wird auch von vielen Betriebssystemen, Browser
und Zertifizierungsstellen teilweise kostenlos unterstützt.
Wie bei PGP handelt es sich um ein hybrides Verfahren
(Kombination von symmetrischen und asymmetrischen
Verschlüsselung).
1 http://de.wikipedia.org/wiki/S/MIME
Kaderali 25.01.2016
111
Verschlüsselung
SSH (Secure Shell)1
Secure Shell ist ein Verfahren zur Sicheren
Kommunikation zwischen einem Rechner (Server) und
einem Endgerät (Client).
Er wurde von Tatu Ylönen entwickelt und 1995 als free
ware angeboten. Ursprünglich handelte es sich um
einen Satz von Kommandozeilen zur Fernsteuerung.
Heute wird SSH von SSH Communications Security AG
in Helsinki gepflegt, weiterentwickelt und kommerziell
vertrieben.
1 http://de.wikipedia.org/wiki/Secure_Shell
Kaderali 25.01.2016
112
Verschlüsselung
TLS (Transport Layer Security) früher SSL (Secret Socket
Layer)
TLS/SSL ist ein hybrides Verschlüsselungsverfahren zur
Datenübertragung im Internet und wird als Freeware1
angeboten. Fast alle Browser setzen TLS in
unterschiedlichen Varianten meist mit RSA und AES ein. Es
wurde von Netscape entwickelt und 1994 zusammen mit
HTTPS in ihrem Browser eingesetzt.
1
http://de.wikipedia.org/wiki/Transport_Layer_Security
http://de.wikipedia.org/wiki/OpenSSL
http://de.wikipedia.org/wiki/GnuTLS
Kaderali 25.01.2016
113
Verschlüsselung
HTTPS (Hypertext Transport Protocol / Secure)1
HTTPS ist ein Kommunikationsprotokoll im WWW (World
Wide Web) um Daten sicher zu übertragen. Es wurde von
Netscape entwickelt und 1994 zusammen mit SSL in ihrem
Browser eingesetzt, Heute bieten alle Browser HTTPS mit
verschiedenen hybriden Verfahren an.
1http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure
Kaderali 25.01.2016
114
Verschlüsselung
Bei allen Anwendungen von HTTPS wird die
Verbindung zur WEB-Seite automatisch verschlüsselt
und im Adressfeld des Browsers angezeigt, dass die
Verbindung verschlüsselt ist, woher die Seite stammt
und von wem dies verifiziert wurde.
Kaderali 25.01.2016
115
Sicherheit im Informationsalltag
(Inhalt II)
 Bluetooth




Kaderali 25.01.2016
Funknetze und Handys
Mobilfunk
Satellitennavigationssysteme
WLan
116
Bluetooth
Bluetooth ist ein Protokoll für die drahtlose
Übertragung von Informationen über ein lokales
Funknetz (WPAN - Wireless Personal Area Network)
über eine kurze Distanz von maximal 10 Metern.
Hauptanwendung von Bluetooth ist der Ersatz von
Kabelverbindungen zwischen Geräten. Viele Geräte u.a.
Handys, Tabletts, Drucker, Rechner verfügen über
diese Schnittstelle. Vielen Anwendern ist dies nicht
bewusst und Bluetooth ist im Hintergrund aktiv,
wodurch eine ernste Sicherheitslücke entsteht.
Kaderali 25.01.2016
117
Bluetooth
Es gibt zahlreiche Verhaltensregeln, um die Sicherheit von
Bluetooth zu erhöhen siehe z.B. * . Hier die wichtigsten:



Bluetooth nur bei Bedarf einschalten und anschließend
wieder abschalten
Verbindung möglichst nur in geschützter Umgebung
aufbauen also z.B. nicht im Straßencafé, Kneipe etc.
Handy unsichtbar machen (Menu Einstellung).
Bluetooth bleibt aktiv, Handy wird anderen nicht
angezeigt. + + +
* http://www.t-online.de/handy/smartphone/id_41666228/bluetoothhandy-vor-hacker-angriffen-sichern-.html
Kaderali 25.01.2016
118
Bluetooth
Verhaltensregeln, um die Sicherheit von Bluetooth zu
erhöhen* (2):


Bluetooth ist beim Verbindungsaufbau am anfälligsten.
Bekannte Geräte deshalb permanent abspeichern, damit
nicht erneut Verbindungen aufgebaut werden müssen.
Nur Verbindungen zu bekannten Geräten zulassen.
Wenn bei bereits bestehenden Verbindung wieder nach
der Authentifizierung gefragt wird, versucht
wahrscheinlich ein zweites Gerät eine Verbindung
aufzubauen. Verbindung abbrechen!
Kaderali 25.01.2016
119
Bluetooth
Verhaltensregeln, um die Sicherheit von Bluetooth zu
erhöhen* (3):

Bluetooth baut häufig automatisch eigenständig
Verbindungen auf. Immer mal nachschauen (Menu
Einstellung) mit welchen Geräte Verbindungen aufgebaut
werden. Unbekannte Geräte löschen!
* http://www.t-online.de/handy/smartphone/id_41666228/bluetoothhandy-vor-hacker-angriffen-sichern-.html
Kaderali 25.01.2016
120
Sicherheit im Informationsalltag
(Inhalt II)





Kaderali 25.01.2016
Bluetooth
Funknetze und Handys
Mobilfunk
Satellitennavigationssysteme
WLan
121
Funknetze und Handys
Funknetze sind Netze in denen Informationen über
elektromagnetische Wellen übertragen werden.
Es handelt sich also um drahtlose Systeme.
Beispiele von Funknetzen sind:
 Bluetooth,
 WLan,
 Mobilfunk (GSM, UMTS),
 Satellitennavigationssysteme (GPS, Galileo).
Kaderali 25.01.2016
122
Funknetze und Handys
Funk Netze sind besonders gefährdet, da die
elektromagnetischen Wellen auch von
Unberechtigten empfangen werden können.
Deshalb empfiehlt es sich die Informationen zu
verschlüsseln.
Kaderali 25.01.2016
123
Funknetze und Handys
Eine weitere Schwachstelle von Funknetzen sind die
Endgeräte (Handys, Smartphones etc.), da diese
mobil sind und leicht entwendet werden können.
Laut einer Studie der Firma Lookout* verliert jeder
deutsche alle drei Jahre sein Handy!
* https://www.lookout.com/de/news-mobile-security/lookoutlost-phones-30-billion1
Kaderali 25.01.2016
124
Funknetze und Handys
Es gibt viele Tipps zum sicheren Umgang mit seinem
Handy. Hier die wichtigsten* :



Kein Rückruf an unbekannte Nummern oder
Mehrwertdiensten.
Keine vertraulichen Gespräche übers Handy – sie
können abgehört werden!
Bei Installation von Apps nur seriöse Anbieter und
Überprüfung auf welcher Daten zugegriffen wird.
* https://www.bsi-fuer-buerger.de/BSIFB/DE/
Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_node.
html?gtp=4581966_list%253D2
Kaderali 25.01.2016
125
Funknetze und Handys
Tipps zum sicheren Umgang mit seinem Handy* (2) :



Tastatursperre, Displaysperre verwenden und SIM /
USIM Pin verwenden. Voreingestellt Passwörter
ändern!
Drahtlose Schnittstellen (Bluetooth, WLAN) nur bei
Bedarf aktivieren und wieder abschalten.
Bei öffentlichen Hotspots Zugang über gesicherte
Verbindung (SSL, Https, VPN) und keine sensitive
Anwendungen (z.B. Online Banking)
* https://www.bsi-fuer-buerger.de/BSIFB/DE/
Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_node.
html?gtp=4581966_list%253D2
Kaderali 25.01.2016
126
Funknetze und Handys
Tipps zum sicheren Umgang mit seinem Handy* (3) :
 Regelmäßige Sicherheitsupdates, keine SW von
unbekannten Anbietern, nur vertrauenswürdige
Quellen.
 Bei Rückgabe / Aufgabe von Handy alle Daten
löschen, SIM Karte entnehmen ggf. vernichten.
* https://www.bsi-fuer-buerger.de/BSIFB/DE/
Wissenswertes/Hilfreiches/Service/Broschueren/broschueren_nod
e.html?gtp=4581966_list%253D2
Kaderali 25.01.2016
127
Funknetze und Handys
Gespräche über Handys verschlüsseln ist meist
benutzerunfreundlich, oft teuer und hilft nicht wirklich
– denn man kann nie sicher sein, dass die
Verschlüsselungssoftware keine Hintertürchen enthält
oder Professionelle die Verschlüsselung nicht bereits
geknackt haben!
Kaderali 25.01.2016
128
Funknetze und Handys
Der Bedarf Handys zu Orten oder gar zu verfolgen ist
groß. Dies belegen die entsprechenden vielfältigen
Angebote im Netz.
Kaderali 25.01.2016
129
Funknetze und Handys
Anbieter von Ortungsdienste stammen aus
folgenden drei Bereichen:



Netzanbieter (wie Telekom, Vodafone, O2 usw.)
Gerätehersteller oder Betriebssystemanbieter (wie
Sony, Apple, Android, Microsoft, etc.) und
Sicherheit und Software Anbieter (wie Norton, FSecure, Lookout, Prey, Avast usw.)
Kaderali 25.01.2016
130
Funknetze und Handys
Typische Anwendungen sind:
Eigenes verlegtes oder gestohlenes Handy zu orten und
weitere Maßnahmen einzuleiten
 Seine Kinder, Ehepartner, Bekannte usw. zu überwachen
 Mitarbeiter im Außendienst zu orten
 Einsatzfahrzeuge z.B. von Transportunternehmen zu
verfolgen
 Kriminelle zu verfolgen
… usw.

Kaderali 25.01.2016
131
Funknetze und Handys
Das Orten eines Handys ohne die Zustimmung des
Inhabers ist in Deutschland eine Straftat.
Man darf dies lediglich bei den eigenen
minderjährigen Kindern vornehmen
Ob die Polizei oder andere staatliche Behörden ein
gestohlenes Handy ohne weiteres orten dürfen ist
zurzeit umstritten – in Ernstfällen (Gefahr im Verzug)
sicher gestattet.
Kaderali 25.01.2016
132
Funknetze und Handys
Grundsätzlich gibt es zwei Verfahren ein Handy zu
orten:


über das Mobilfunknetz (GSM oder UMTS) oder
über das Navigationssystem (GPS oder künftig
Galileo)
Kaderali 25.01.2016
133
Funknetze und Handys
Jedes Gerät in einem Mobilfunknetz befindet sich stets in
Kontakt mit dem Netz über Funkzellen. Damit ist seine
Position grob bekannt. In Städten ist gewöhnlich der
Umfang der Funkzellen klein, auf dem Land allerdings groß.
Die Position kann also mal genau, mal ziemlich ungenau
(einige Meter bis einige Kilometer) geortet werden.
Kaderali 25.01.2016
134
Funknetze und Handys
Betreiben die Netzanbieter im Einzelfall mehr Aufwand,
besteht die Möglichkeit ein Gerät genauer zu orten. Hier
kommen Methoden zum Einsatz wie: über drei Funkzellen
das Gerät orten, die Entfernung des Gerätes zu Funkmasten
über Zeitverzögerungen zu bestimmen usw.
Prinzipiell ist also die Ortung über Funknetze grob, im
Einzelfall doch recht genau.
Kaderali 25.01.2016
135
Funknetze und Handys
Jedes Gerät hat eine eindeutige Kennung – die IMEI
(International Mobile Equipment Identity).
Man erfährt diese von seinem Handy, wenn man #06#
eingibt.
Es ist hilfreich, diese zu kennen, um beim Verlust das
Handy schnell zu identifizieren.
*
Kaderali 25.01.2016
136
Funknetze und Handys
Das Navigationssystem GPS ist recht genau. Über eine
Verbindung zu 6 Satelliten kann das Endgerät seine Position
auf 10 Meter genau bestimmen – bei Galileo auf 1 Meter
genau.
Nur Handys, die GPS Funktionalität unterstützen können
eine Ortung durchführen – älter Geräte können dies also
nicht.
Smartphones haben diese Funktionalität, kennen dadurch
ihre Position und nutzen entsprechend ortsgebundene
Dienste.
Zur externen Ortung braucht man also nur diese Information
von dem Smartphone zu bekommen.
Kaderali 25.01.2016
137
Funknetze und Handys
Eine Ortung über das Mobilfunknetz ist nur möglich,
wenn das Handy eingeschaltet ist (eventuell im
Power Down Modus) und Verbindung zum
Mobilfunknetz hat.
Entsprechend ist eine Ortung im Navigationssystem
nur möglich, wenn das Gerät eingeschaltet ist
(eventuell im Power Down Modus) und Verbindung
zu einigen Satelliten hat. Außerdem ist eine
Internetverbindung erforderlich, um nach der
Positionsbestimmung die Daten zu übermitteln.
Kaderali 25.01.2016
138
Funknetze und Handys
Es ist allerdings auch möglich, Funktionen in das
Handy einzuschleusen, die es verhindern, dass das
Handy faktisch abgeschaltet wird. Es bleibt
unbemerkt verbunden mit GSM, GPS und dem
Internet.
Ferner gibt es die Möglichkeit stille SMS an das
gestohlene Gerät zu senden, die nicht erkannt
werden. Sie werden nicht angezeigt, geben keinen
Tonhinweis, bewirken aber, das das Handy seine
Daten einschließlich Standort zurücksendet.
Kaderali 25.01.2016
139
Funknetze und Handys
Es gibt mehr als hundert kostenlose und
kostenpflichtige Apps sein verlorenes Handy zu orten,
Daten davon herunterzuladen, alle Daten zu löschen,
Bilder zu schießen und zu übermitteln, die SIM Karte
zu sperren usw.
Eine pauschale Empfehlung von Apps ist nicht
möglich da die Auswahl von vielen unterschiedlichen
Faktoren abhängt.
Kaderali 25.01.2016
140
Funknetze und Handys
Hier einige nützliche Links:
https://www.handy-orten.biz/
https://www.avast.com/de-de/anti-theft
https://antitheft.norton.com/
https://www.lookout.com/de/download
https://preyproject.com/download
http://beste-apps.chip.de/android/app/f-secure-antitheft-android-app,cxo.54458825/
Kaderali 25.01.2016
141
Sicherheit im Informationsalltag
(Inhalt II)





Kaderali 25.01.2016
Bluetooth
Funknetze und Handys
Mobilfunk
Satellitennavigationssysteme
WLan
142
Mobilfunknetze (GSM, UMTS)
Mobilfunknetze der ersten Generation waren analog. In
1992 wurden in Deutschland die ersten digitalen
Mobilfunksysteme nach dem GSM Standard (Global
System for Mobile Communications früher Groupe Spécial
Mobile) in Betrieb genommen und die ersten digitalen
Handys kamen auf dem Markt. Der Standard wurde stets
weiter entwickelt. Heute wird er in gut 200 Ländern
eingesetzt und ist der meist verwendete
Mobilfunkstandard weltweit*.
*http://de.wikipedia.org/wiki/Global_System_for_Mobile_Communicati
ons
Kaderali 25.01.2016
143
Mobilfunknetze (GSM, UMTS)
In Deutschland ist seit 2004 Mobilfunk der dritten
Generation nach dem UMTS (Universal Mobile
Telecommunications Standard) verfügbar. Während in
GSM Netzen eine Datenrate von 55 kbit/s bis maximal 220
kbit/s möglich ist, bietet UMTS eine Datenrate von 384
kbit/s bis maximal 42 Mbit/s*. Darüber hinaus bietet UMTS
weitere Breitbanddienste und ein etwas höhere
Datensicherheit. Beide Netze werden jedoch grundsätzlich
als unzureichend sicher eingestuft**.
*http://de.wikipedia.org/wiki/Universal_Mobile_Telecommunications_S
ystem
**https://www.bsi.bund.de/DE/Publikationen/Broschueren/oefms/index
_htm.html
Kaderali 25.01.2016
144
Mobilfunknetze (GSM, UMTS)
Da beide Netze (GSM und UMTS) kompatibel sind
und die Grundabläufe in beiden Netzen identisch
sind, schauen wir uns im Folgenden nur das GSM
Verfahren näher an.
Kaderali 25.01.2016
145
Mobilfunknetze (GSM, UMTS)
Jeder Teilnehmer im Netz erhält eine Chipkarte (SIM –
Subscreiber Identification Module) die in das Endgerät
eingebaut wird mit einer eindeutigen Kennzeichnung
(IMSI – International Mobile Subscriber Identity).
Hierdurch wird der Teilnehmer gegenüber jedem GSM
Mobilfunknetz eindeutig identifiziert. Das Netz erfährt
auch, wo der Teilnehmer registriert ist (HLR - Home
Location Register) und meldet dort, dass der
Teilnehmer sich in seinem Bereich (VLR - Visitor
Location Register) befindet. In dem HLR wird ständig
Buch geführt, wo der Teilnehmer sich aktuell befindet.
Kaderali 25.01.2016
146
Mobilfunknetze (GSM, UMTS)
Ruft nun jemand den Teilnehmer an, so wird zunächst
über eine Signalisier Verbindung zum HLR festgestellt,
wo der Teilnehmer sich befindet. Dann wird eine
weitere Signalisier Verbindung zum VLR aufgebaut
über die dem Anrufer mitgeteilt wird, ob der
Teilnehmer verfügbar ist. Erst wenn dies der Fall ist,
wird das Gespräch (Nutzkanal) durchgeschaltet.
Kaderali 25.01.2016
147
Mobilfunknetze (GSM, UMTS)
Der Ablauf verdeutlicht, dass viele Daten über den
Teilnehmer im Netz verfügbar sind und ein Missbrauch
nicht immer ausgeschlossen werden kann. Auf der
SIM-Karte befinden sich außerdem weitere Daten wie
Telefonbuch, Notizbuch, SMS Speicher, Speicher der
zuletzt angerufenen Nummern, Anrufe in Abwesenheit
usw. Insbesondere kann der Aufenthaltsort des
Teilnehmers und sein Bewegungsprofil erstellt
werden, wenn man Zugriff auf die Speicher der
Netzbetreiber hat.
Kaderali 25.01.2016
148
Mobilfunknetze (GSM, UMTS)
Da UMTS kompatibel zu GSM ist und teilweise das
GSM Netz mitverwendet, ist die erhöhte Sicherheit
von UMTS nicht immer gewährleistet.
Kaderali 25.01.2016
149
Mobilfunknetze (GSM, UMTS)
Im Laufe der letzten Jahre wurden zahlreiche Schwachstellen des GSM Netzes aufgedeckt. Hierzugehören*:

In GSM Netzen wird eine Authentifizierung des
Teilnehmers vorgenommen aber nicht des Netzes. Dies
ermöglicht eine „Man in the Middle“ Attacke mit dem
Einsatz eines IMSI-Catchers. Gespräche können dann
abgehört werden. IMSI-Catchers werden in
Zusammenhang mit Bekämpfung der Kriminalität und
Terrorgefahr eingesetzt und sind frei käuflich.
*http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf
Kaderali 25.01.2016
150
Mobilfunknetze (GSM, UMTS)
Schwach-stellen des GSM Netzes (2)*:



Es ist möglich den Authentifizierungsschlüssel Ki
herauszufinden und eine SIM-Karte zu klonen
Es gibt mehrere erfolgreiche Angriffe auf die GSM Krypto
Algorithmen A5/1 und A5/2.
Die Verschlüsselung der Daten erfolgt nur vom Mobilteil
zur Basisstation, Verbindungen über Festnetz,
Richtfunkverbindungen und die Vermittlungs-,
Übertragungsanlagen erfolgen unverschlüsselt, sofern die
verwendeten Systeme keine eigenen
Verschlüsselungsalgorithmen verwenden.
*http://www.bubla.info/informatik/files/krypto_gsm_umts_paper.pdf
Kaderali 25.01.2016
151
Mobilfunknetze (GSM, UMTS)
In UMTS-Netzen wurden einige dieser Lücken beseitigt. So
sind die Schlüssel länger und ein „Man in the Middle“
Attacke ist nicht möglich. Auch eine Ende zu Ende
Verschlüsselung kann durchgeführt werden. Allerdings gibt
es inzwischen Berichte darüber dass die UMTSVerschlüsselung sowohl durch einen direkten Angriff* als
auch über einen Angriff auf das Signalisier System Nr. 7**
gebrochen werden kann
* http://www.heise.de/security/meldung/Auch-UMTS-Verschluesselungangeknackst-903458.html
** http://www.computerbild.de/artikel/cb-News-Sicherheit-BerichtGravierende-Sicherheitsluecken-im-UMTS-Netz-11233064.html
Kaderali 25.01.2016
152
Mobilfunknetze (GSM, UMTS)
Das Fazit insgesamt lautet: Mobilfunknetze sind nicht
sicher und man sollte weder vertrauliche Gespräche
darüber führen noch vertrauliche Daten darüber
austauschen, es sei denn man verschlüsselt Ende zu
Ende selbst!
Kaderali 25.01.2016
153
Sicherheit im Informationsalltag
(Inhalt II)





Kaderali 25.01.2016
Bluetooth
Funknetze und Handys
Mobilfunk
Satellitennavigationssysteme
WLan
154
Navigationssysteme
GPS (Global Positioning System)* wurde von
dem US Verteidigungsministerium in den 1970er
Jahren entwickelt und ist seit Mitte der 1990er Jahre
als Navigationssystem voll funktionsfähig. Seit Mitte
des Jahres 2000 wurde es in voller Genauigkeit für
zivile Anwendungen freigegeben. Es hat eine
Genauigkeit von etwa 10 Metern, die durch spezielle
Software auf bis zu einem Meter erhöht werden kann.
* http://de.wikipedia.org/wiki/Global_Positioning_System
Kaderali 25.01.2016
155
Navigationssysteme
Das System basiert auf Satelliten, die ständig Ihre
genaue aktuelle Position und die genaue Zeit
ausstrahlen. Eine Verbindung mit vier Satelliten ist
ausreichend damit der Empfänger seine Position, die
Bewegungsrichtung und die Geschwindigkeit
ausrechnen kann. Der Empfänger kombiniert diese
Daten mit verfügbarem Kartenmaterial und stellt die
Position, Geschwindigkeit usw. anschaulich dar.
Kaderali 25.01.2016
156
Navigationssysteme
Damit ein Empfänger immer mindestens zu vier
Satelliten Kontakt hat, werden 24 bis 30 Satelliten
eingesetzt, die die Erde zwei Mal am Tag in einer Höhe
von ca. 20.000 km umkreisen.
Animation GPS:
http://de.wikipedia.org/wiki/Datei:ConstellationGPS.gif
Kaderali 25.01.2016
157
Navigationssysteme
Zurzeit wird von der Europäischen Union in Kooperation
mit zahlreichen Ländern ein neues, sehr genaues (1 Meter)*
Navigationssystem namens Galileo aufgebaut. Insgesamt
sind 30 Satelliten vorgesehen. Nach Plan sollten in 2015
bereits 20 Satelliten im Betrieb sein - somit wäre das
System voll funktionsfähig. Tatsächlich sind zurzeit (Ende
2015) zwölf Satelliten Verfügbar allerdings zwei davon nicht
ganz auf der richtigen Bahn**.
* http://www.dlr.de/next/desktopdefault.aspx/tabid-6804/11164_read25462/
** http://www.heise.de/newsticker/meldung/Zwei-neue-GalileoSatelliten-auf-dem-Weg-ins-All-3046408.html
Kaderali 25.01.2016
158
Navigationssysteme
Animation Galileo:
http://de.wikipedia.org/wiki/Datei:Galileo_sat_constallation.gif
Kaderali 25.01.2016
159
Navigationssysteme
Wie aus der Systembeschreibung hervorgeht, sind die
Satelliten passiv, d.h. sie sammeln keine Daten. Die
jeweilige Position der Empfänger wird beim Empfänger
berechnet und ist den Satelliten nicht bekannt. Erst wenn
die Empfänger aktiv sind und ihre errechnete Position,
Geschwindigkeit etc. weiter geben (z.B. an eine Leitstelle
zur Steuerung von Fahrzeugen) treten Datenschutz
Fragen auf. Dies ist bei vielen Standortdiensten der Fall.
Kaderali 25.01.2016
160
Sicherheit im Informationsalltag
(Inhalt II)





Kaderali 25.01.2016
Bluetooth
Funknetze und Handys
Mobilfunk
Navigationssysteme
WLan
161
WLAN
WLAN (Wireless Local Area Networks)* auch WiFi
(Wireless Fidelity) genannt sind drahtlose lokale
Funknetze die meist nach einem Protokoll der IEEE802.11-Familie arbeiten. Sie haben eine größere
Sendeleistung (also größere Reichweite) und größere
Bandbreite (also höhere Datenübertragungsrate) als
WPAN (Wireless Personal Area Network wie Bluetooth)
und können durchaus eine größere Anzahl von Geräten
verbinden. Üblicherweise arbeiten sie im GHz-Bereich und
haben eine Übertragungsrate von einigen Mbit/s bis zu
einigen Gbit/s.
* http://de.wikipedia.org/wiki/Wireless_Local_Area_Network
Kaderali 25.01.2016
162
WLAN
WLANS werden auch als Zugang zum privaten oder
öffentlichen Datennetzen (Accesspoint, Hotspot)
verwendet. Internetanbieter stellen häufig ein WLAN als
Zugang zu ihrem Netz zur Verfügung. Zahlreiche Geräte
(Smartphones, Handys, Tabletts, Notebooks aber auch
Drucker und Scanner) haben eingebaute WLAN Karten
und können sich an der Kommunikation über diese
Funknetze beteiligen. Da die Sicherheit von WLANS nicht
sehr ausgeprägt ist, wird dringend empfohlen sowohl eine
Authentifizierung als auch eine Verschlüsselung
durchzuführen.
Kaderali 25.01.2016
163
WLAN
Im Folgenden fassen wir zu einem Sicherheitshinweise zum
Betrieb von einem eigenen privaten WLAN und zum andern
Hinweise zum Verhalten in fremden WLANS zusammen*:
 Ändern Sie das vom Hersteller eingestellte Name des
WLANS und die voreingestellten Passwörter. Benutzen
Sie einen Namen, der keinen Hinweis über Sie gibt.
Löschen Sie das Login Banner (da hierdurch das
Gerätemodell und Details des Gerätes bekannt gegeben
werden).
* https://www.bsi-fuerbuerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit
stipps/sicherheitstipps_node.html
Kaderali 25.01.2016
164
WLAN
Sicherheitshinweise für WLANS* (2) :



Gehen Sie vom Netz, wenn Sie den WLAN konfigurieren.
Verwenden Sie den sicheren Modus https zum
Konfigurieren.
Sie können ihr WLAN (SSID) verstecken. Es gibt
allerdings Tools auch versteckte WLANS sichtbar zu
machen!
Aktualisieren Sie die Gerätesoftware (automatische
Aktualisierung empfohlen).
* https://www.bsi-fuerbuerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit
stipps/sicherheitstipps_node.html
Kaderali 25.01.2016
165
WLAN
Sicherheitshinweise für WLANS* (3) :



Sie können den MAC Filter einrichten. Dann werden nur
eingetragene Geräte zugelassen.
Deaktivieren Sie nicht benötigte Funktionen z.B.
Fernzugang für Einstellungen.
Verwenden Sie eine gute Verschlüsselung z.B. WPA2.
WEP und WPA ist nicht ausreichend! PIN mindestens 20
Zeichen!
* https://www.bsi-fuerbuerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherheit
stipps/sicherheitstipps_node.html
Kaderali 25.01.2016
166
WLAN
Sicherheitshinweise für WLANS* (4) :


Deaktivieren Sie das WPS PIN Verfahren. Es ist unsicher!
Öffentliche Hotspots verwenden meist keine
Verschlüsselung – die Luftschnittstelle ist dann ab
hörbar. Dies gilt häufig auch für viele fremde WLANS
(z.B. in Hotels). Deshalb keine vertrauliche Informationen
über fremde WLANS versenden. Wenn doch, dann eigene
Verschlüsselung verwenden (z.B. SSL, Https oder VPN).
* https://www.bsi-fuerbuerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherhei
tstipps/sicherheitstipps_node.html
Kaderali 25.01.2016
167
WLAN
Sicherheitshinweise für WLANS* (5) :


Datei- und Verzeichnisfreigabe deaktivieren damit diese
von Dritten nicht eingesehen werden können.
Deaktivieren Sie die automatische Anmeldung an
bekannten Hotspots. Diese können verfälscht sein (d.h.
einen falschen Namen tragen!).
* https://www.bsi-fuerbuerger.de/BSIFB/DE/SicherheitImNetz/WegInsInternet/WLAN/Sicherhei
tstipps/sicherheitstipps_node.html
Kaderali 25.01.2016
168
Sicherheit im Informationsalltag
Vielen Dank
für Ihre Aufmerksamkeit!
Fragen?
Kaderali 25.01.2016
169