Die Bedrohungen, die insbesondere durch die Vernetzung durch das Internet für die IT-Sicherheit bestehen, machen auch vor dem privat genutzten Internet-PC nicht Halt. Es ist sogar so, das viele Benutzer aufgrund des fehlenden Sicherheitsbewusstseins leichte „Beute“ für Angriffe über das Internet sind. Folglich häufen sich diesbezüglich die negativen Meldungen und erhöhen die Angst der Benutzer vor dem Medium Internet. Dies hat wiederum zur Folge, dass diese das Internet meiden.
Um dieser negativen Entwicklung entgegen zu treten, werden im Rahmen dieser Arbeit, dem Benutzer eines privat genutzten PCs, der mit dem Internet verbunden ist, die dafür bestehende Bedrohungen bewusst gemacht und ihm praktikable Sicherheitsmaßnahmen an die Hand gegeben.
Dazu werden als Einführung zunächst die Grundwerte der IT-Sicherheit und die wissenschaftliche Vorgehensweise beschrieben. Danach wird das Anwendungsszenario, das die Basis für diese Arbeit bildet, vorgestellt. Für dieses Szenario wird dann im Hinblick auf die Grundwerte der IT-Sicherheit der Schutzbedarf analysiert. Darauf aufbauend werden anschließend die Bedrohungen, sprich die Gefahren und deren Risiken, aufgezeigt. Um diesen Bedrohungen zu begegnen werden danach die Sicherheitsmaßnahmen erarbeitet. Diese werden dann schließlich als Leitfaden zusammengefasst dargestellt. Eine Zusammenfassung und Bewertung der Ergebnisse schließt die Arbeit ab.
Inhaltsverzeichnis
1 Themenabgrenzung und Motivation
1.1 Wie die Idee zu dieser Arbeit entstand
1.2 Zielsetzung und Themenabgrenzung
1.3 Wissenschaftliche Vorgehensweise
1.4 Grundwerte der IT-Sicherheit
2 Anwendungsszenario
2.1 Funktionalität und Daten
2.2 Infrastruktur
2.2.1 Software
2.2.1.1 Anwendungen
2.2.1.2 Betriebssystem
2.2.2 Hardware
3 Schutzbedarfsanalyse
3.1 Vertraulichkeit
3.2 Integrität
3.3 Verfügbarkeit
4 Bedrohungsanalyse
4.1 SANS-Liste
4.1.1 Schwache Passwörter
4.1.2 Microsoft Internet Explorer
4.1.3 Microsoft Outlook und Outlook Express
4.2 BSI-Katalog
4.2.1 Technisches Versagen
4.2.1.1 Authentifizierung
4.2.1.2 Datenverlust
4.2.1.3 Bugs
4.2.1.4 Backdoors
4.2.1.5 Verschlüsselung
4.2.1.6 E-Mail
4.2.1.7 AutoRun
4.2.2 Vorsätzliche Handlungen
4.2.2.1 Social Engineering
4.2.2.2 Zugang und Rechte
4.2.2.3 E-Mail
4.2.2.4 Internet
4.2.2.5 Viren
4.2.2.6 Trojaner
4.2.2.7 Verschlüsselung
4.2.2.8 Maskerade
4.2.2.9 Abhören
4.3 Weitere Bedrohungen
4.3.1 Internet
4.3.2 Viren
4.3.3 Maskerade
5 Sicherheitskonzept
5.1 Übersicht
5.2 Awareness
5.3 Betriebssystem
5.3.1 Benutzerverwaltung
5.3.1.1 Benutzerkonten
5.3.1.2 Benutzerrichtlinien
5.3.1.3 Awareness bzgl. Passwörtern
5.3.1.4 Passwortrichtlinien
5.3.1.5 Dateioption „Sicherheit“
5.3.2 Datei- und Druckerfreigabe
5.3.3 Windows-Update
5.3.4 Datenausführungsverhinderung
5.3.5 Intrusion Detection System
5.3.6 Windows-Firewall
5.3.7 AutoRun
5.4 Office
5.4.1 Office-Update
5.4.2 Makro-Sicherheit
5.5 E-Mail
5.5.1 Awareness bzgl. E-Mail
5.5.2 Outlook (Express) - Einstellungen
5.5.3 Outlook (Express) - Update
5.5.4 SPAM-Filter
5.5.5 Attachments
5.5.6 Virenscanner
5.5.7 Daten-Verschlüsselung
5.6 Internet
5.6.1 Awareness bzgl. Internet
5.6.2 Browser-Einstellungen
5.6.3 Browser-Update
5.6.4 Alternative Browser
5.6.5 Verschlüsselte Verbindung
5.6.6 Anonym Surfen
5.6.7 Desktop-Firewall
5.6.8 Virenscanner
5.6.9 Anti-Spy Tools
5.6.10 Wireless LAN
5.6.11 Verschlüsselte Bereiche
5.6.12 2 PCs
5.7 Backup
5.8 BIOS
6 Leitfaden
7 Schluss
7.1 Erworbene Kenntnisse und ihre Beurteilung
7.2 Schlussgedanke mit Ausblick
A – Abbildungsverzeichnis
B – Literaturverzeichnis
C – Haftungsausschluss
1 Themenabgrenzung und Motivation
Diese Arbeit dient der Erlangung des akademischen Grades „Bachelor of Information Systems and Management“ im Studiengang Wirtschaftsinformatik (Bachelor) des Fachbereichs Informatik/Mathematik an der Fachhochschule München.
1.1 Wie die Idee zu dieser Arbeit entstand
Seit Mitte des Jahres 2003 häufen sich nach dem subjektivem Empfinden des Autors Beiträge von Fernsehsendern und Zeitschriften, in denen von privaten PC-Nutzern die Rede ist, die Angst vor dem Internet haben und sich von diesem Medium immer mehr distanzieren. Begründet wird diese Angst insbesondere durch bekannte Fälle von Datenverlust, Systemschädigung und „Abzocke“ in ihren verschiedensten Ausprägungen. Auch im Umfeld des Autors ärgern sich immer häufiger PC-Nutzer unter anderem darüber, dass ihr System instabil oder sogar nicht mehr nutzbar ist und dass sie Datenverluste erlitten haben.
Da der Autor der Meinung ist, dass jeder ohne Angst und schadhafte Auswirkungen auf das überaus nützliche Medium Internet zugreifen können sollte, hält diese Arbeit für die genannten und weiteren Probleme Lösungen bereit.
1.2 Zielsetzung und Themenabgrenzung
Gemäß dem Titel und der bereits angeführten Idee möchte der Autor dem Leser einen Leitfaden mit praktikablen Maßnahmen zur Absicherung seines Systems geben. Ziel ist somit nicht eine Abschottung, sondern ein System, das mit dem Internet verbunden und soweit sicher ist, dass man damit ohne übertriebene Ängste oder hohe Bedrohungen noch arbeiten kann.
Die Zielgruppe stellen private PC-Nutzer dar; für kleine Unternehmen könnte dieser Leitfaden jedoch ebenfalls eine Hilfestellung darstellen. In größeren Unternehmen gibt es dedizierte Abteilungen, in denen sich die Administratoren mit IT[1] -Sicherheit befassen. Eine gewisse Mithilfe der Mitarbeiter wird jedoch immer benötigt, da diese direkt mit den Systemen arbeiten.
Das Thema IT-Sicherheit gewinnt für Unternehmen immer mehr an Bedeutung, so dass schon viel Material zu diesem Thema im geschäftlichen Bereich verfügbar ist. Dieses Material ist für den privaten Bereich jedoch nicht so einfach übertragbar - denn wer hat zu Hause beispielsweise ein Netzwerk mit 100 Client-Rechnern zu verwalten? Des Weiteren findet der private PC-Nutzer allenfalls Bruchstücke, sprich Empfehlungen zu einzelnen Programmen. Selbstverständlich kann diese Arbeit das Feld der IT auch nicht vollständig abdecken, dafür ist es viel zu umfangreich und schnelllebig. Trotzdem geht der Anspruch dieser Arbeit in Richtung Überblick bzw. ganzheitliche Betrachtung und unterscheidet sich dadurch von den bisherigen Werken.
1.3 Wissenschaftliche Vorgehensweise
Um der Wissenschaftlichkeit Rechnung zu tragen, wurde das Thema methodisch aufbereitet. Die Vorgehensweise ist in Abbildung 1-1 dargestellt.
Abbildung in dieser Leseprobe nicht enthalten
1.4 Grundwerte der IT-Sicherheit
Es folgt eine Definition der Grundwerte der IT-Sicherheit. Die Auswahl erfolgte aufgrund der Relevanz der Grundwerte für die private PC-Nutzung.
V ertraulichkeit: „bedeutet, daß die Information, der Dienst usw. nur Berechtigten zugänglich sein darf.
I ntegrität: bedeutet, daß die Information, der Dienst usw. nur von Berechtigten verändert werden darf.
V erfügbarkeit: bedeutet, daß die Information, der Dienst usw. in einer zugesicherten Zeit zugänglich ist.“[2]
2 Anwendungsszenario
Im Folgenden wird ein Szenario beschrieben, das die zur Realisierung der gewünschten Funktionen im Hinblick auf die private PC-Nutzung eingesetzte Soft- und Hardware möglichst allgemeingültig darstellt, so dass es auf den Großteil der tatsächlich eingesetzten Konfigurationen anwendbar ist.
In Kapitel 3 wird der Schutzbedarf für dieses Szenario analysiert, in Kapitel 4 werden die Bedrohungen, die für dieses Szenario bestehen, beschrieben und in Kapitel 5 werden die entsprechenden Gegenmaßnahmen aufgezeigt, die dann in Kapitel 6 als Leitfaden zusammengefasst dargestellt werden.
2.1 Funktionalität und Daten
Ein PC wird typischerweise für folgende Funktionen verwendet:
- Betriebssystemfunktionalitäten
- Benutzerverwaltung
- Suchfunktion
- Netzwerk
- etc.
- Office
- Tabellenkalkulation
- Textverarbeitung
- Präsentationserstellung
- etc.
- Kommunikation und Interaktion
- E-Mail
- Datenaustausch
- Recherche
- Bankgeschäfte
- Einkaufen
- Voice-over-IP-Telefonie
- Multimedia
§ Internet-Radio
§ etc.
- etc.
- Personal Information Management (PIM)
- Kontakte
- Kalender
- etc.
- Archivierung
- etc.
Für diese Funktionen werden folgende Daten verwendet:
- personenbezogene Daten
- Zugangsdaten
- Bankdaten
- Firmendaten (sind speziell zu behandeln und werden in dieser Arbeit nicht
weiter berücksichtig)
2.2 Infrastruktur
Abbildung in dieser Leseprobe nicht enthalten
2.2.1 Software
Für die Funktionalitäten wird nachfolgende Software benötigt, wobei die Anwendungen und das Betriebssystem auf dem PC (siehe Abbildung 2-2 Nr. 1) installiert sind.
2.2.1.1 Anwendungen
Folgende Anwendungen kommen typischerweise zum Einsatz:
- Office
Für Textverarbeitung, Tabellenkalkulation und die weiteren Office-Anwendungen gibt es spezielle Office-Pakete bzw. -Software.
Aufgrund der großen Verbreitung, wird für das Szenario davon ausgegangen, dass Microsoft Office installiert ist.
- Kommunikation und Interaktion
Für die Verwaltung von E-Mails im Offline-Betrieb gibt es entsprechende E-Mail Programme.
Für das Szenario wird davon ausgegangen, dass Microsoft Outlook bzw. Outlook Express im Einsatz ist, da diese in Microsoft Office bzw. Windows integriert sind.
- Internet
Neben einer Internet-Verbindung (siehe dazu 2.2.2 von 8) werden für die Funktionalitäten der Kommunikation und Interaktion zusätzlich noch vielfältige und spezielle Anwendungsprogramme benötigt, die diese Verbindung dann entsprechend nutzen.
Aufgrund der genannten Vielfalt und Spezielle kann an dieser Stelle nur auf die Browser-Anwendung eingegangen werden. Denn aufgrund der Integration des Microsoft Internet Explorers in den Windows-Betriebssystemen kann für das Szenario davon ausgegangen werden, dass dieser als Browser im Einsatz ist.
- PIM
Für das Personal Information Management werden Anwendungen benötigt, die unter anderem Kalenderfunktionen bieten und mit denen die Verwaltung von Kontakten möglich ist.
Für das Szenario wird davon ausgegangen, dass dafür Microsoft Outlook im Einsatz ist, da Outlook in Microsoft Office integriert ist.
- Archivierung
Um Daten für längere Zeit zu archivieren, braucht man Datenträger, die nicht im PC verbaut sind, und entsprechende Hard- und Software, um diese zu verwalten. Für das Szenario werden dafür DVDs oder CDs verwendet, die mit DVD- oder CD-Brennern (siehe dazu 2.2.2 von 8) und entsprechenden Brennprogrammen verwaltet werden.
2.2.1.2 Betriebssystem
Das Betriebssystem ist die zentrale Software, die die Betriebssystemfunktionalitäten bereitstellt, auf die die Anwendungen aufbauen und von der die Hardware gesteuert wird. Auf den meisten der privat genutzten PCs ist derzeit das Betriebssystem Windows XP Professional der Firma Microsoft installiert. Entsprechend wird es in dieser Arbeit betrachtet. Aber auch für die Benutzer vorhergehender Windows-Versionen, insbesondere Windows 2000, dürften die Aspekte dieser Arbeit übertragbar sein.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2-2 und die daran anschließenden Erläuterungen zeigen, welche Hardware benötigt wird, um die Funktionalitäten zu realisieren.
Hardware
Abbildung 2-2: Anwendungsszenario Hardware
Erläuterungen:
- [1] PC
darauf ist sämtliche Software (siehe 2.2.1 6) installiert, an ihm sind alle weiteren Geräte angeschlossen und er bildet damit die Basis für alle Funktionalitäten
- [2] USB[3] -Speicher-Stick
kann für Datenaustausch und zum Booten des Systems benutzt werden
- [3] Disketten-Laufwerk
dessen Disketten können für Datenaustausch und zum Booten des Systems benutzt werden
- [4] DVD-/CD-Brenner
dessen DVDs/CDs können für Datenaustausch und zum Booten des Systems benutzt werden, auch die Archivierung wird über dieses Laufwerk realisiert
- [5] Soundkarte
durch diese Karte und die damit verbundenen Geräte Mikrofon [6] und Lautsprecher [7] werden die Multimedia-Funktionalitäten unterstützt und die Voice-over-IP-Telefonie möglich
- [6] Mikrofon
siehe [5]
- [7] Lautsprecher
siehe [5]
- [8] Maus
Maus und Tastatur [10] sind für die Bedienung des PCs [1] und damit für alle Funktionalitäten notwendig
- [9] Bildschirm
der Bildschirm ist für die Anzeige am PC [1] und damit für alle Funktionalitäten notwendig
- [10] Tastatur
siehe [8]
- [11] Netzwerkkarte
auch LAN[4] -Karte genannt, bildet zusammen mit den Geräten [12] bis [16] die Basis für die Kommunikation und Interaktion
- [12] Switch
siehe [11], dient zum Anschluss mehrer netzwerkfähiger Geräte an eine Netzwerkkarte
- [13] weitere LAN-Geräte
siehe [11], zusätzliche netzwerkfähige Geräte
- [14] DSL[5] -Modem/-WLAN[6] -Router
siehe [11], über dieses Gerät wird die Verbindung zum Internet hergestellt
- [15] WLAN-Access-Point
siehe [11], kann als zentraler Verbindungspunkt vom kabellosen und/oder kabelgebundenen Netzwerk bzw. der damit verbundenen Geräte [13] und/oder [16] und/oder dem PC [1] verwendet werden; kann auch zur kabellosen Kommunikation mit dem DSL-WLAN-Router [14] für eine Verbindung ins Internet dienen
- [16] weitere WLAN-Geräte
siehe [11], zusätzliche funknetzwerkfähige Geräte
- [17] weitere Geräte
je nach Nutzung des PCs sind noch viele weitere Geräte im Einsatz
3 Schutzbedarfsanalyse
Die Funktionalitäten und Daten (siehe 2.1 von 4) sind in Bezug auf die Grundwerte der IT-Sicherheit (siehe 1.4 von 3) unterschiedlich schützenswert.
3.1 Vertraulichkeit
Abbildung in dieser Leseprobe nicht enthalten
4 Bedrohungsanalyse
Bereits durch den Betrieb eines Computers an sich, vor allem aber durch die Öffnung des Systems zur Außenwelt ergeben sich Bedrohungen für die Funktionen und Daten (siehe 2.1 von 4) entsprechend der Schutzbedarfsanalyse (siehe 3 von 11).
Bedrohungen sind bestimmt durch Gefahren und deren Risiko, wobei das Risiko wiederum durch die Eintrittswahrscheinlichkeit und die Schadenshöhe bestimmt ist. Entsprechend werden in diesem Kapitel die Gefahren kurz beschrieben und deren Risiken eingeschätzt. Die Skala reicht jeweils von „niedrig“ über „mittel“ bis „hoch“. Da die Gefahren Veränderungen unterliegen und auch immer wieder neue Gefahren auftauchen, kann kein Anspruch auf Vollständigkeit bestehen!
4.1 SANS-Liste
Abgeleitet von der Top 10 Liste der kritischsten Schwächen von Windows Systemen des SANS Institute[7], seien an dieser Stelle die genannt, die vom Autor als relevant für privat genutzte PCs befunden werden. Die Auswahl erfolgte mit Bezug auf die Funktionen und Daten (siehe 2.1 von 4).
4.1.1 Schwache Passwörter
B 1.1 – Schwache Passwörter[8]
Eintrittswahrscheinlichkeit: hoch Schadenshöhe: hoch
Um Daten zu schützen wird der Zugang zu diesen beschränkt. Das bedeutet, dass nur bestimmte Benutzer Zugang haben. Die meisten Arten der Benutzeridentifizierung gegenüber IT-Systemen basieren auf Passwörtern, die vom Benutzer gestellt werden. Da die meisten Systeme so konfiguriert sind, dass ein erfolgreich identifizierter Zugang nicht protokolliert wird, bietet ein aufgedecktes Passwort die Gelegenheit unentdeckt in ein System einzudringen. Ein Angreifer hätte alle Rechte des Benutzers, dessen Passwort er benutzt und damit Zugriff auf die entsprechenden Daten. Für diesen Angreifer wäre es auch bedeutend einfacher Zugang zu weiteren Benutzern zu bekommen und vielleicht auch zu einem Benutzer mit Administratorrechten, wodurch er dann vollen Zugriff auf das System erlangen würde.
Die häufigsten Schwächen bei Passwörtern sind:
- es werden gar keine Passwörter verwendet oder
Passwörter, die zu leicht zu erraten sind
- sie werden von den Benutzern nicht geheim gehalten
Szenario: die Betriebssystem-Passwörter für die Benutzer werden schwach gewählt, wodurch der unbefugte Zugang erleichtert wird.
4.1.2 Microsoft Internet Explorer
B 1.2 – Microsoft Internet Explorer[9]
Eintrittswahrscheinlichkeit: hoch Schadenshöhe: hoch
Der Browser Microsoft Internet Explorer (IE) wird mit dem Betriebssystem Microsoft Windows mitinstalliert. Bei allen existierenden Versionen des Internet Explorers werden immer wieder neue bedenkliche Sicherheitslücken entdeckt. Ein Angreifer kann Internet-n erstellen, die diese Sicherheitslücken ausnutzen während diese n vom Benutzer betrachtet werden.
Diese Sicherheitslücken können in verschiedene Kategorien eingeteilt werden. Diese sind unter anderem Schwächen bei ActiveX-Steuerelementen, Active Scripting oder Buffer Overflow.
In der Folge können Cookies oder Daten ausgelesen, Programme ausgeführt, eigenmächtiger Code heruntergeladen und ausgeführt oder das komplette System übernommen werden.
Szenario: der Internet Explorer ist als Web-Browser ohne Updates installiert, so dass die Sicherheitslücken nicht geschlossen sind und diese von Angreifern genutzt werden können.
4.1.3 Microsoft Outlook und Outlook Express
B 1.3 – Microsoft Outlook und Outlook Express[10]
Eintrittswahrscheinlichkeit: hoch Schadenshöhe: hoch
Microsoft Outlook, das Bestandteil von Microsoft Office ist, ist in erster Linie ein E-Mail Programm, jedoch dient es auch zum Verwalten von Terminen, Aufgaben und Kontakten.
-utlook Express (OE) ist die kostenlose Version von Outlook mit geringerem Funktionsumfang. Outlook Express baut seit der Version 1.0 auf Technologien des Internet Explorers auf. Durch das Einbeziehen von Produkten wie dem Internet Explorer und Outlook Express in andere Produktlinien, einschließlich Office und dem Betriebssystem Windows, können gemeinsame Technologien und Code plattformübergreifend verwendet werden.
Diese Methode der Programmarchitektur macht aus Herstellersicht Sinn und ermöglicht eine effizientere Verwendung von Code. Jedoch entstehen durch diese Praxis mehr Fehlerquellen und die Wirkung, die irgendeine Sicherheitslücke darstellen könnte, wird verstärkt. Dies trägt zur steigenden Herausforderung der Aufrechterhaltung einer sicheren Arbeitsumgebung bei.
Eines der Ziele von Microsoft besteht darin, eine brauchbare und intuitiv zu bedienende E-Mail und Informations-Verwaltung Software zu entwickeln. Leider stehen die enthaltenen Automatisierungsfunktionen im Widerspruch zu den eingebauten Sicherheitsfunktionen, die oft von den Endbenutzern nicht beachtet werden. Dies hat zu Ausnutzung, Anstieg von Viren, Würmern, schadhaftem Code zum Eindringen in das eigene System und zu vielen anderen Arten von Angriffen geführt.
Szenario: Outlook und/oder Outlook Express sind ohne Updates installiert, so dass die Sicherheitslücken nicht geschlossen sind und diese von Angreifern genutzt werden können.
4.2 BSI-Katalog
Das IT-Grundschutzhandbuch des BSI[11] enthält so genannte Gefährdungskataloge aus denen in den folgenden Unterpunkten auszugsweise Bedrohungen, wiederum vom Autor im Hinblick auf die private Nutzung abgeleitet, dargestellt werden. Die Kataloge „Höhere Gewalt“, „Organisatorische Mängel“ und „Menschliche Fehlhandlungen“ werden in dieser Arbeit nicht behandelt, weil diese den Rahmen deutlich sprengen würden.
4.2.1 Technisches Versagen
Es folgen die Bedrohungen, die durch technisches Versagen hervorgerufen werden können.
4.2.1.1 Authentifizierung
B 2.1 – Schlechte oder fehlende Authentifizierung[12]
Eintrittswahrscheinlichkeit: hoch Schadenshöhe: hoch
Authentifizierungsmechanismen können zur Authentifizierung von Benutzern oder zur Bestimmung des Datenursprungs eingesetzt werden. Wenn diese Mechanismen fehlen oder fehlerhaft sind, besteht die Gefahr, dass Unbefugte auf den PC und dessen Daten Zugriff nehmen können oder die Herkunft von Daten nicht bestimmt werden kann.
Sicherheitslücken entstehen u. a.
- wenn der Benutzer schwache Passwörter wählt oder diese nie ändert,
- wenn Default-Passwörter nicht durch individuell gewählte ersetzt werden,
- bei der Wahl der Mechanismen, wenn diese völlig untauglich sind oder Sicherheitslücken bekannt werden, auf die aber nicht reagiert wird.
Szenario: die Passwort-Sicherheitsrichtlinien des Betriebssystems sind schwach eingestellt, was ein deutliches Sicherheitsrisiko bedeutet.
4.2.1.2 Datenverlust
- B 2.2 – Defekte Datenträger[13]
Eintrittswahrscheinlichkeit: mittel Schadenshöhe: hoch
Technische Mängel oder Beschädigungen können zum Ausfall bzw. Defekt von Datenträgern führen. Festplatten werden durch den so genannten „Headcrash“ des Schreib-/Lesekopfes unbrauchbar. Optische Medien wie CD-ROMs und der gleichen können durch Verkratzen der Oberfläche unbrauchbar werden. Vor allem bei Disketten stellt man häufig fest, dass diese nicht mehr beschreibbar oder lesbar sind, was dazu führt, dass diese nicht mehr zu gebrauchen sind. So können Datenträger z.B. durch Magnete in Lautsprechern gelöscht werden.
Szenario: die Festplatte des PCs erleidet einen Headcrash und ist damit unbrauchbar geworden.
- B 2.3 – Verlust gespeicherter Daten[14]
Eintrittswahrscheinlichkeit: mittel Schadenshöhe: hoch
Durch den Verlust gespeicherter Daten können wichtige Informationen verloren gehen. Interessant sind hier vor allem E-Mails sowie Zugangsdaten.
Dabei sind die Gründe für den Verlust vielfältig:
- Störung magnetischer Datenträger durch äußere Magnetfelder,
- technisches Versagen von Festplatten (Headcrash),
- versehentliches Löschen oder Überschreiben von Dateien,
- vorsätzliche Datenzerstörung durch Computer-Viren,
- etc.
Szenario: durch den Headcrash der Festplatte des PCs geht die gesamte E-Mail-Korrespondenz verloren.
4.2.1.3 Bugs
- B 2.4 – Softwareschwachstellen
Eintrittswahrscheinlichkeit: hoch Schadenshöhe: hoch
[15] Softwareschwachstellen sind unbeabsichtigte Programmfehler, die dem Anwender nicht oder noch nicht bekannt sind und die ein Sicherheitsrisiko für den PC darstellen. Es werden ständig neue Sicherheitslücken in vorhandener und neuer Software gefunden.
[16] Je komplexer Software ist, desto häufiger treten Programmierfehler auf. Auch aufgrund von Zeitdruck bieten Hersteller ihre Produkte teilweise unausgereift oder nicht fehlerfrei an. Werden diese Schwachstellen nicht erkannt und beseitigt, kann dies zu weit reichenden Folgen führen, wenn Angreifer diese ausnutzen.
Das klassische Beispiel ist der „Buffer Overflow“. Dies beschreibt einen Fehler, bei dem ein Programm beim Einlesen von Zeichen nicht überprüft, ob die Länge der eingegebenen Zeichenkette mit der Länge des dafür vorgesehenen Speicherbereiches übereinstimmt. Angreifern ist es dadurch möglich, eine überlange Zeichenfolge einzugeben, wodurch zusätzliche Befehle hinter dem für die Eingabe reservierten Speicherbereich gespeichert werden, die dann zur Ausführung gebracht werden. Diese Befehle können beliebige schadhafte Programme sein.
Szenario: durch einen Buffer Overflow gelingt es einem Angreifer die Festplatte des PCs auszulesen.
- B 2.5 – Software-Konzeptionsfehler[17]
Eintrittswahrscheinlichkeit: mittel Schadenshöhe: hoch
Bei der Entwicklung von Programmen und Protokollen können sicherheitsrelevante Konzeptionsfehler auftreten. Diese Fehler sind häufig historisch bedingt. Ende der 60er-Jahre konnten die Entwickler der heute im Internet verwendeten Protokolle nicht davon ausgehen, dass diese einmal die Grundlage für dieses bedeutende Computer-Netz bilden würden.
Die offene Übertragung im Internet, so dass Daten wie Passwörter mitgelesen oder verändert werden können, ist ein Beispiel für einen Konzeptionsfehler.
Szenario: E-Mails werden grundsätzlich unverschlüsselt übertragen.
4.2.1.4 Backdoors
B 2.6 – Undokumentierte Funktionen[18]
Eintrittswahrscheinlichkeit: hoch Schadenshöhe: hoch
Viele Anwendungsprogramme enthalten auch Funktionen, die nicht in der Dokumentation beschrieben sind und die den Benutzern entsprechend nicht bekannt sind. Mittlerweile gibt es Bücher zu einigen Betriebssystemen bzw. Anwendungsprogrammen, die bekannt gewordene, bis dahin undokumentierte Funktionen beschreiben. Solange diese Funktionen jedoch verborgen sind, kann nicht ausgeschlossen werden, dass neben nützlichen Effekten mit ihnen auch viel Schaden angerichtet werden kann.
Wenn die versteckten Funktionen Sicherheitsmechanismen wie den Zugriffsschutz betreffen, birgt das besondere Gefahren. Solche Funktionen dienen oft als „Hintertüren“ während der Entwicklung, die es später allerdings auch ermöglichen, beispielsweise mit einem trivialen Passwort Administratorrechte zu erlangen.
Szenario: über eine Hintertür im Betriebssystem ist es einem unbekannten Dritten möglich, über das Internet ohne Passwort Zugang zu erhalten.
[...]
[1] Informations-Technologie
[2] zitiert nach [Pleier 03 a] S. 12
[3] Universal Serial Bus
[4] Local Area Network
[5] Digital Subscriber Line
[6] Wireless Local Area Network
[7] siehe [SANS 03] S. 2
[8] vgl. [SANS 03] S. 9
[9] vgl. [SANS 03] S. 15
[10] vgl. [SANS 03] S. 28 f.
[11] Bundesamt für Sicherheit in der Informationstechnik
[12] vgl. [BSI 03] S. 516
[13] vgl. [BSI 03] S. 489
[14] vgl. [BSI 03] S. 495
[15] vgl. [BSI 03] S. 490
[16] vgl. [BSI 03] S. 502
[17] vgl. [BSI 03] S. 524
[18] vgl. [BSI 03] S. 528
-
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X.