|
Das Thema Sicherheit wird heutzutage großgeschrieben, aber wie sicher sind unsere Daten? Das Thema Security umfasst nicht nur den Schutz gegen die Zerstörung von Daten sondern auch die Gewährleistung der Integrität und Authentizität. Unter Integrität versteht man, dass die Daten unverfälscht vom Sender zum Empfänger kommen. Unter Authentizität vversteht man, dass gewisse Daten nur berechtigten Personen zugänglich gemacht werden dürfen. Den Security-Investitionskosten sind nach oben hin fast keine Grenzen gesetzt, darum sollten sich die finanziellen Investitionen in einem gesunden Verhältnis zu den zu erwartenden möglichen Schaden halten. Firewall, AntiViren-Software, Passwort-Schutz, Verschlüsselung,... sind alles Maßnahmen zur Absicherung von Daten. Doch selbst die modernsten und ausgeklügeltesten Techniken haben einen riesengroßen Nachteil - den Menschen! Was nutzt die teuerste Firewall wenn sie nicht professionell konfiguriert ist (siehe MS-Blaster, Slammer, ...!) ? Was nutzt die neueste AntiViren-Software wenn das letzte AntiViren-Update 6 Monate alt ist? Was nutzt ein Passwort das eine Brute-Force-Attacke in 5 Millisekunden knacken kann? Was nutzt eine 256- oder 512-Bit-Verschlüsselung (symetrisch!) wenn der Schlüssel dazu auf einem PostIt unter dem Schreibtisch klebt? Die meisten erfolgreichen Angriffe auf ein Netzwerk und den darin enthaltenen Daten, werden von Innen ausgeführt. Nur ein Bruchteil kommt von außen (Internet). Mögliche Beispiele wären: Ein Mitarbeiter kennt die Firma und weiß wo, welche Daten vorhanden sind. Er braucht nur zum 10.000,- Euro teuren, mit der neuesten Statefull-Firewall und einer 168Bit-IPSec/VPN Verbindung gesicherten Firmenserver gehen und die von ihm gewünschten Daten auf einen USB-Stick kopieren! Und da das Notebook vom Chef immer im Aufenthaltsraum steht und das Passwort eigentlich nur 500SL oder BMW750 heißen kann sind seine Daten auch kein Geheimnis mehr! Nicht zu vergessen der PC der Sekretärin, die in der Mittagspause den Computer nicht sperrt und nur ein Tastendruck erforderlich ist, damit die geheimen Firmen-Emails aufscheinen! Oder was ist leichter, als sich in einer großen Firma als Computeradministrator am Telefon auszugeben und einen Mitarbeiter nach seinem Passwort zu fragen, weil man es zur Wiederherstellung seiner Word-Dokumente am Server, braucht! Diese Beispiele könnte man unendlich fortsetzen.... Man kann dieses Problem mit einem alten Sprichwort verdeutlichen: Eine Kette ist nur so stark wie ihr schwächstes Glied Die Sicherheit der EDV kann nur so gut sein, wie der Mensch der damit arbeitet Jede Maschine kann man irgendwie zum Sturz bringen, jedoch sollte es potentiellen Angreifern nicht zu leicht gemacht werden. Eine unverschlüsselte VPN-Verbindung ist so viel Wert wie eine angelehnte Tressortür in einer Bank. Ein Internet-Information-Server unter Win2000 ohne ServicePack oder Patch ist selbst für einen Kiddie-Cracker kein Problem. Eine unverschlüsselt/ungeschützte WLAN-Verbindung erfordert nur einen Mausklick um sich mit dieser zu Verbinden. Besser als ein Passwortschutz auf einem Server ist z.B. die Verwendung von Smartcards. Auf einem Server sollten nur solche Dienste installiert werden die unbedingt erforderlich sind. Einen ungepatchten Win2000-Rechner als Router in das Firmennetz zu verwenden kann sehr gefährlich sein. .... DoS (Denial of Service): Hierbei wird ein Server mit nutzlosen IP-Paketen bombardiert, bis er zu 100% ausgelastet ist und keine regulären Anfragen mehr bearbeiten kann. DDoS (Distributet Denial of Service): Das ist ein DoS von vielen Computern gleichzeitig. Buffer Overflow: Hier werden IP-Packete mit zu großen Inhalten versendet, bzw wird der Computer veranlasst das er auf Speicherbereiche zugreift die ein anderer Dienst verwendet. Brute Force: Durchprobieren von tausenden Buchstaben/Zahlenkombinationen pro Sekunde. Dictionary-Attack: Durchprobieren von tausenden (Wörterbuch-) Passwörtern pro Sekunde. Side-Channel-Attacke: Hier werden Werte wie Strom, Spannung oder Zeitspannen auf Leitungen oder Ausgabegeräten gemessen um darauf Rückschlüsse auf die übertragenen Daten zu erhalten. Man-in-the-middle-attack: Hier linkt sich ein Computer zwischen zwei Kommunikationspartner ein, ohne das sie es merken, und gaukelt ihnen vor er sei jeweils der andere gewünschte Gesprächspartner .... |
