Datenschutz und Datensicherheit: Häufig gestellte Fragen (FAQ)
Was sind die grundlegenden Unterschiede zwischen Datensicherheit und Datensicherung?
Datensicherung umfasst alle organisatorischen und technischen Maßnahmen zum Schutz vor Datenverlust, -fälschung und -missbrauch durch Katastrophen, technische Fehler, menschliches Versagen oder böswillige Angriffe. Datensicherheit hingegen beschreibt den angestrebten Zustand, der durch diese Maßnahmen erreicht werden soll, jedoch niemals vollständig gewährleistet werden kann.
Welche Formen der Computerkriminalität werden im Text behandelt?
Der Text behandelt verschiedene Formen der Computerkriminalität, die im Strafgesetzbuch (StGB) definiert sind, darunter das Ausspähen von Daten (§ 202a), Computerbetrug (§ 263a), das Erschleichen von Leistungen (§ 265a), Datenveränderung (§ 303a) und Computersabotage (§ 303b). Es wird betont, dass die rechtlichen Konsequenzen international unterschiedlich sein können.
Welche Datenspuren hinterlassen Internetnutzer und wie werden diese genutzt?
Internetnutzer hinterlassen Datenspuren in Form von Log-Files, die analysiert werden können, um Nutzerprofile zu erstellen. Diese Profile enthalten Informationen über besuchte Webseiten, Kaufentscheidungen, Preispräferenzen und Suchbegriffe. Cookies spielen dabei eine wichtige Rolle, indem sie Informationen auf dem Rechner des Nutzers speichern.
Was sind Cookies und wie werden sie eingesetzt?
Cookies sind kleine Dateien, die auf dem Computer des Nutzers abgelegt werden und beispielsweise für die Funktionalität von Einkaufskörben genutzt werden. Sie liefern Unternehmen detaillierte Informationen über das Nutzerverhalten, ermöglichen die Zuordnung von Namen und ermöglichen das unbemerkte Zuspielen von Informationen. Der Text warnt vor dem "gläsernen Surfer" und beschreibt die drei Arten von ausgetauschten Daten: Stammdaten, Verbindungsdaten und Inhaltsdaten.
Was sind Viren und wie wirken sie sich aus?
Viren sind Dateifragmente oder angehängte Codes, die über Netzwerke und Datenträger übertragen werden. Ihre Auswirkungen sind vielfältig und reichen von der Zerstörung der Festplatte über die Verlangsamung des Systems bis hin zur Manipulation von Dokumenten. Der Text betont, dass nur ein kleiner Prozentsatz der Viren tatsächlich schädlich ist, und empfiehlt die Nutzung von Antivirenprogrammen als Schutzmaßnahme. Die neue Generation von Viren, die Trojaner, wird ebenfalls erwähnt.
Was sind Trojanische Pferde und wie kann man sich davor schützen?
Trojanische Pferde sind Viren, die sich selbstständig verbreiten und vermehren. Sie können Passwörter auslesen, Daten manipulieren und sich selbst replizieren. Oftmals verstecken sie sich in harmlos aussehenden Dateien. Der Text rät zur Verwendung von Antivirenprogrammen und regelmäßiger Systemwartung als Schutzmaßnahmen. Auch die rechtlichen Konsequenzen im Zusammenhang mit Viren und Trojanern werden angesprochen.
Wie funktionieren Firewalls und welche Arten gibt es?
Firewalls schützen Computer und Netzwerke vor unerwünschten Zugriffen aus dem Internet. Der Text beschreibt zwei Sicherungssysteme: die individuelle Absicherung jedes Rechners und die Verwendung eines zentralen Firewall-Rechners. Es werden verschiedene Arbeitsweisen von Firewalls erläutert, darunter das Paketfilterprinzip und das Dual Homed Gateway (DHG).
Was ist Kryptographie und welche Verfahren werden unterschieden?
Kryptographie ist die Verschlüsselung von Daten zum Schutz der Vertraulichkeit, Integrität und Authentizität. Der Text beschreibt symmetrische Verfahren (mit einem Schlüssel) wie DES und IDEA, und asymmetrische Verfahren (mit zwei Schlüsseln – einem öffentlichen und einem privaten Schlüssel) wie RSA. Hybridmodelle, die beide Verfahren kombinieren, werden ebenfalls erwähnt.
Wie funktioniert eine digitale Signatur und welche Verfahren werden verwendet?
Eine digitale Signatur dient der Authentifizierung und Integritätsprüfung von Daten. Sie verwendet asymmetrische Verschlüsselungsverfahren und Hash-Verfahren zur Überprüfung der Unverändertheit der Daten. Der Text erklärt das Verfahren detailliert und erwähnt den Secure Hash Algorithm (SHA) als aktuellen Standard.
Welche Maßnahmen zum persönlichen Schutz werden empfohlen?
Der Text gibt zahlreiche Empfehlungen zum persönlichen Schutz vor Cyberkriminalität, darunter das sichere Aufbewahren des PCs, die kritische Auseinandersetzung mit Webseiten-Fragen, die regelmäßige Systemwartung, die Verwendung von Virenscannern, das Deaktivieren von Cookies, die Verschlüsselung persönlicher Daten und E-Mails sowie die Verwendung sicherer Passwörter.
1. Datensicherheit und -sicherung
Sicherung: Gesamtheit aller organisatorischer und technischer Vorsorgemaßnahmen gegen Verlust, Fälschung und unberechtigten Zugriff aufgrung von Katastrophen, technischen Ursachen, menschlichen Versagen oder mutwilligen Eingriffen Sicherheit: Ist der angestrebte Zustand, der durch alle diese Maßnahmen erreicht werden soll, aber letztlich nicht vollkommend erreicht werden kann.
Def.: Klaus Pommerening, in ,,Datenschutz und Datensicherheit"
2. Computerkriminalität
- Schon immer Computernutzer die versuchten mit Kenntnissen auf Lücken und Risiken aufmerksam zu machen
- Bsp. CCC Hamburg _zeigen Lücken auf und bieten Lösungen
- Aber auch viele Hacker nutzen Fähigkeiten für privaten gewinn _sehr oft illegal
- Problem: Wenig Gesetzesgrundlage im Internet, da international
- Erst in letzten Jahren Änderungen im StGB:
1. Ausspähen von Daten (§ 202a)
2. Computerbetrug (§ 263a)
3. Erschleichen von Leistungen (§265a)
4. Datenveränderung (§303a)
5. Computersabotage (§303b)
-STRAFBAR
- Aber nur in Deutschland
- International: weniger streng
3.1 Datenspuren und Cookies
- Internetsurfer hinterlässt Datenspuren ,,Log-Files"
- Diese können analisiert werden: Bsp.: Microsoft kann mit jeden IE nutzer bei Bedarf kommunizieren und so z.B. Registriernummern überprüfen
- WEITERE NUTZUNG DER SPUREN: Nutzerprofil des Users (Besuchte Seiten, Kaufentscheidungen, Preisklasse, Suchbegriffe)
2 Überwachungswege:
1. Archivierungsfirmen Fremdspeicherung der Daten (Internet Archivierung der Seitenzugriffe)
2. ,,Cookies": kl. Dateien, abgelegt auf Privatrechner Ziel Realisierung von Einkaufskörben
Cookies
- liefern Unternehmern Angabe über Nutzer
- außerdem: Namenszuordnung, unbemerktes zuspielen von Informationen
BSP.: Nutzer A bucht Reise z.B. Irak
besuch vom Sicherheitsdienst, Versicherungsvertreter für Lebensversicherungen, er bekommt E-Mail Prospekte für schusssichere Westen, Krankenhäuser oder Rehakliniken
- Ziel der Unternehmer: Verbesserter Kundenservice
- Verbraucherschutz: gläserner Surfer
- Bei solchen Datenübertragungen werden 3 Daten ausgetauscht:
1. Stammdaten, identifizieren der User
2. Verbindungsdaten, wer, wann, mit wem, wie viele Daten austauschte
3. Inhaltsdaten
- In Dtl.: Strenge Regelung gegen Missbrauch der Daten
- International: kaum Gesetze z.B. bietet US-Firma ComCult professionelle Analyse von Daten an
4. Viren
- Def.: Dateifragmente oder angehängte Codes die über Netzwerke und fremde Datenträger übertragen werden
- Wirkungen sehr Verschieden z.B.:
1. Zerstörung der Festplatte
2. Verlangsamung der Geschwindigkeit
3. ersetzen in Dokumenten alle ,,E" durch ,,X"
- oft werden sie erst an best. Terminen aktiv (oft der 13. eines Monats)
- aber: Gefahr nur von ca. 5% aller Viren, alle anderen: Scherzhafte Meldungen oder Virusanzeige ohne Fehler
- jeden Monat erscheinen Weltweit etwa 20.000 neue Viren
- Einziger praktikabler Schutz: Antiviren-Programme z.B. Norton Antivirus, F-prot
- In letzten Jahren: neue Viren Generation: Trojaner
4.1 Trojanische Pferde
- Viren die sich selbstständig Verbreiten und Vermehren
- Trojaner installiert und loggt sich in System ein Passwörter mitlesen und an Erschaffer versenden, Manipulation von Daten und Vermehrung des Trojaners
- Oft in Dateien versteckt öffnen Trojaner installiert sich und bleibt im permanent im Hintergrund auch wenn Datei gelöscht.
- 5% wirklich Schädlich
- Schutz: Anti-Viren-Programme und Wartung des Systems
- Rechtlich: Viren und Trojaner Straftatbestände
a. §202a StGB: Daten ausspähen
3 Jahre Gefängnis
b. §303aStGB: Rechtswidrige Datenveränderung 2-5 Jahre Gefängnis
c. §87b Urheberrechtsgesetz:
Entnahme von Daten durch Kopie
BEISPIELE FÜR TROJANER:
,,Melissa"
- einer der berühmtesten
- in Word-Dokument versteckt
- verschickte sich selbst an bis zu 50 Adressen im E-Mail Adressbuch
- Folge: legte ganze E-Mailsysteme lahm
,,BuddyLyst"
- angeblich Bildschirmschoner der Firma Budweiser
- löscht Festplatte
- sendet Zugangskennung und Passwörter an Schöpfer
5. Firewalls
- wenn Unternehmen mit dem Firmennetz ins Internet wollen Risiko
- 2 Sicherungssysteme:
1. Jeder Rechner einzeln gesichert hohe Kosten und enormer Aufwand nur bei Einzelrechnern praktikabel mit Software Firewalls (z.B. Zone- Alarm)
2. Firewallrechner der zwischen Internet und
Intranet geschaltet ist beherbergt alle
Sicherheitsmaßnahmen
- Bei zentraler Firewall-Lösung bestimmt der Rechner mit höchsten oder niedrigsten Schutzniveau die Stärke der Firewall
Arbeitsweisen:
a) Paketfilterprinzip
b) Dual Homed Gateway (DHG)
c) Kombinationen aus a und b
a) Paketfilterprinzip
- Versandinformationen in den Datenpaketen (Art und Ziel des IP-Paketes)
- Firewall entscheidet ob und wie die Daten weitergeleitet werden
- Filter hat keine IP-Adresse von außen unsichtbar kann von außen nicht manipuliert werden
b) Dual Homed Gateway
- 2 Verbindungen: zum internen LAN und eine zu einem öffentl. ftp-Server
- wenn LAN aus Internet angesprochen nur DHG-Rechner beansprucht Speichert eingehende Daten zwischen und überprüft sie wenn OK: Weiterleitung
- Einbruch sehr einfach
- Aber: da Datenbewegung genau protokolliert _Angriff wird schnell festgestellt und unterbunden
- Nötig: gute Administration
6. Kryptographie
- = Verschlüsselung von Daten
- Hauptaufgaben:
1. Nachricht geheim halten
2. Nachricht unverfälscht übermitteln
3. ggf. Absender identifizieren
- Bsp.: +1 Schlüssel
Verschiebung des Alphabets um +1 Bei Dechiffrierung: -1
6.1 Verschlüsselungsverfahren
6.1.1 Symmetrisches Verfahren
- = ,,Single-Key"= ,,Private-Key"= ,,Secret-Key"
- Ver- und Entschlüsselung mit ein und dem selben Schlüssel
- 2 Standarts: ,,Data Encryption Standard"(DES) und ,,Improved Data Encryption Algorithm"(IDEA)
DES:
- 70er Jahren con IBM entwickelt
- relativ sicher
- 64 Bit Schlüssel IDEA:
- 1990 entwickelt
- arbeitet ähnlich wie DES
- doppelte Schlüssellänge 128 Bit
- Problem bei Symmetrischen Verfahren: Sichere Übermittelung der Schlüssel und Schlüsselanzahl (für Kommunikation zw. 1000 Benutzern (jeder mit jedem, jeder anderen Schlüssel) benötigt man 499.500 Schlüssel
- Sicherheit: 1 Rechner testet 1 Mill Mögl./sek um alle Komb. Zu testen:
a. 56 Bit Schlüssel: ca. 2000 Jahre
b. 128 Bit Schlüssel: 1017 Jahre
6.1.2 Asymetrisches Verfahren
- Verschlüsselungsschlüssel Entschlüsselungsschlüssel
- 2 Schlüssel: ein öffentlicher (Public) Schlüssel und ein persönlicher (Secret) Schlüssel unabhängig von einander
- öffentl. Schlüssel bei Zertifizierungsstelle Frei downloadbar Schlüsselbund für Verschlüsselung
- Text an Benutzer x wird mit öffentl. Schlüssel verschlüsselt
- Dechiffrierung nur mit privaten Schlüssel nicht mit öffentl.
- WICHTIG: Adresse nicht mit verschlüsseln
VERFAHREN:
RSA:
- Entwickelt 1977 von Ron Rivest, Adi Shamir und Leonard Adlemann
- Verschlüsselung mit math. Problemen: Faktorisierungsproblem großer Zahlen und direkter Logarithmus
- Sehr aufwendiger Verschlüsselungsalgorithmus
a. 512 Binärstellen für
Verschlüsselungszahl = sicher
b. 768 " =Standard
c. 2048 " = Absolute Sicherheit militärische Geheimnisse
- Problem: extrem langsam und Rechenaufwendig, da komplizierte mathematische Fkt. Verwendet werden
6.1.3 Hybridmodelle
- Text symmetrisch verschlüsselt
- Schlüssel für symmetrische Verschlüsselung mit asymmetrischen Verfahren verschlüsselt Symm. Schlüssel kann sicher weitergeschickt werden _symm. Verfahren ist sicher
- BEISPIELPROGRAMM: PGP
1. Verschlüsselung des Textes mit IDEA oder TripleDES
2. Symm. Schlüssel mit RSA oder ElGamal
3. entwickelt von Philip Zimmermann
4. kostenfrei im Internet
5. effektiv bei E-Mails da digitale Signatur unterstützt
6.1.4 Andere Verschlüsselungen
STEGANOGRAPHIE:
- Nachricht in Bild oder Ton Datei versteckt Bildgröße (2048*3072) versteckt 2,3 MB Nachricht
- Problem: Leicht zu Entschlüsseln Relativ unüblich
7. Digitale Signatur
- weist Unverändertheit und Absender nach
- gilt als offizielle Unterschrift Gesetz zu digitalen Signatur (SigG) Digitale Unterschrift = ein Siegel, welches mit Hilfe eines privaten Signaturschlüssels erzeugt wurde und mit einem dazugehörigen öffentlichen Schlüssel, der von einer Zertifizierungsstelle für echt erklärt wurde, den Inhaber und die Echtheit der Daten erkennen lässt. (§2)
- Benötigt damit Rechtsgültig:
1. Eindeutig zuordbarer Name oder Pseudonym
2. zugeordneten öffentl. Schlüssel
3. Bezeichnung des verwendeten Algorithmus
4. laufende Nummer des Zertifikats
5. Beginn und Ende des Zertifikats
6. Name der Zertifizierungsstelle
7. Angaben über Beschränkungen
- verwendet asymmetrisches Verfahren
- 2 Schlüssel generiert
- öffentl. Schlüssel an Zertifizierungsstelle
- privat Schlüssel verbleibt bei Absender zur Verschlüsselung(!)
Vorgehen:
- zu verschlüsselnder Text mit sog. Hash Verfahren komprimiert und mit privat Schlüssel chiffriert und dann dem Ausgangstext angehängt
- Empfänger erhält Ausgangstextkomprimiert ihn mit Hash-Verfahren entschlüsselt mit öffentlichen Schlüssel
- Wenn Ausgangstext = Anhangstext Absender richtig, da nur er den zum öffentl. Schlüssel passenden privaten hat
- so kann man auch beabsichtigte und unbeabsichtigte Manipulationen feststellen
HASH- Verfahren:
- HASH- Algorithmus über Dokument bildet Quersumme der Daten
- Ergebnis ist fest unabhängig von Dokument Länge Buchstabe geändert = anderes Ergebnis
- Quersumme = Fingerabdruck des Dokuments
- Quersumme wird dann zur Kontrolle für Empfänger asymmetrisch Verschlüsselt + versendet
- Aktueller Standard für HASH Verfahren: Secure Hash Algorithm (SHA)
In Praxis: Alles im Hintergrund:
- Absender klickt auf signieren und steckt Unterschriftskarte (mit privat Schlüssel) in Lesegerät
- Empfänger gibt angenommenen Absender ein, PC holt sich öffentl. Schlüssel und vergleicht
SOLCHE ZERTIFIZIERUNGS-VERFAHREN GELTEN ALS 100% SICHER_
=Standard für Online-Banking Technik bekannt als HBCI (Home Banking Computer Interface)
- Sparkasse testet aktuell ähnl. System für E-Commerce und Online-Banking
SET (Secure Electronic Transaction)
8. Persönlicher Schutz
Lassen Sie Ihren PC nicht unbeaufsichtigt. Verschließen Sie beim Verlassen des Raumes die Tür und aktivieren Sie den Bildschirmschoner mit Kennwortschutz.
- Beantworten Sie nicht alle Fragen, die Ihnen beim Besuch einer Internetseite gestellt werden. Wie oben beschrieben, sind Daten und Informationen die Währung im Internet. _ Pflegen und warten Sie Ihr System ! Löschen Sie Daten, die Sie nicht mehr benötigen oder lagern Sie diese aus.
Übertragen Sie keine unverschlüsselten personenbezogene Daten oder
Kreditkartennummern. Viele E-Commerce-Unternehmen fordern die Kreditkartennummern extern über Fax an, was immer noch sicherer ist, als eine Nummer durch das Internet zu schicken und so jedermann zugänglich zu machen. Verschlüsseln Sie Ihre persönlichen Daten und E-Mails mit Programmen wie z.B. PGP.
- Öffnen Sie nur Ihnen bekannte Programme, man könnte Ihnen ein Trojanisches Pferd "schenken".
Arbeiten Sie regelmäßig mit Virenscannern. _ Deaktivieren Sie Optionen für Cookies.
Lassen Sie sich ggf. anonymisieren, Ihr Name wäre hier nicht mehr verräterisch (http://www.anonymizer.com/)
Lassen Sie Ihre Diskussionsbeiträge in Newsgroups nicht archivieren, indem Sie jeder Nachricht "x-no-archive: yes" voranstellen. Somit werden Ihre Beiträge nicht archiviert und die Erstellung eines Teilnehmerprofils wird erschwert.
Verwenden Sie Passwörter, wechseln Sie diese regelmäßig, wählen Sie Buchstaben-Ziffern- Kombinationen, halten Sie Ihre Passwörter geheim.
Falls Sie nicht dauernd ,,online" sein müssen, isolieren Sie Ihren PC vom Netz, indem Sie den Übertragungsstecker zum Telefonnetz herausziehen.
- Arbeit zitieren
- Alexander Jarke (Autor:in), 2000, IT-Sicherheit, München, GRIN Verlag, https://www.grin.com/document/98944