Donnerstag, 16. Januar 2020

Welche Motive können hinter Angriffen stecken?

Motive hinter Angriffen können sein:

  • Systemzugang bekommen.
  • An fremde Informationen gelangen (z.B. geheime Daten, Patente, Lösungen, ...).
  • An fremde Benutzerinformationen gelangen (z.B. Benutzernamen und Passwörter):
  • An Bankdaten gelangen (Online-Banking Zugangsdaten).
  • Informationen über Unternehmen/Organisation erhalten (Unternehmen des Users, etc.).
  • Webserver einfach nur langsam machen, indem viele Nachrichten zum Webserver gesendet werden, so dass dieser in Überlast gerät (Denial of Service).
  • Das System des Users für einen Angriff  verwenden.
  • Nutzung von fremden Systemressourcen (Rechner des Users).
  • Einfach nur Systeme zerstören wollen (z.B. Kabel durchschneiden, Baugruppen im Rechner zerstören, ...).
  • Vergeltung - Ein Vergeltungsangriff könnte von einem zuvor geschehenem Ereignis provoziert worden sein.
  • Abwehr - Abwehrangriffe werden oft zur Prävention durchgeführt. Der Präventivschlag z.B. soll einen Angriff im Vorhinein vereiteln oder dem tatsächlich drohendem Angriff zuvorkommen.
  • der Angreifer möchte Beachtung in der Hackerszene bekommen.

Donnerstag, 19. Dezember 2019

IT-Sicherheitsmanagement nach ISO 27001 Grundschutz

Der Wunsch nach umfangreicher Sicherheit eigener IT-Infrastrukturen wächst bei Organisationen und Unternehmen. Eine Zertifizierung nach ISO 27001 Grundschutz hilft dabei, die erforderlichen Maßnahmen umzusetzen und Vertrauen bei den Kunden zu stärken. Dieser Artikel gibt einen Einstieg in die komplexe Materie.

Die Sicherheitsanforderungen an informationsverarbeitenden IT-Systemen sind in den letzten Jahren extrem angestiegen. Nicht zuletzt durch raffinierte und hochkomplexe Cyberangriffe müssen Organisationen und Unternehmen ihre Computersysteme, die immer mehr mit dem Internet verbunden sind, dagegen absichern. Da auch der Trend sehr stark zu cloudbasierten Anwendungen geht, geraten die Geschäftswerte (alles, was für die Geschäftstätigkeit relevant ist) und Prozesse, die in den informationsverarbeitenden IT-Systemen verarbeitet werden, in den Fokus von professionellen Hackern.

Ganzen Fachartikel von Thomas Burgard lesen:
https://www.zwp-online.info/publikationen/publikationen-eingestellt/digital-dentistry/dd0117

Dienstag, 3. Dezember 2019

Ist meine Email-Adresse bei Diensten registriert, die bereits gehackt wurden.


Email-Adresse prüfen
Hier könnt ihr prüfen , ob eure E-Mail-Adresse bei Diensten registriert ist, die bereits erfolgreich von Kriminellen angegriffen wurden.

IT-Sicherheit: 7 wichtige Regeln

Ransomware, Phishing, Viren: Ein unbedachter Klick im Browser kann ausreichen und schon landet Schadsoftware auf dem Computer. Mit etwas Strategie und Verstand surft man aber stets sicher im Netz.
  1. Starke Passwörter. Sicherheit beginnt beim Passwort
  2. Zwei-Faktor-Authentifizierung
  3. Updates sofort aufspielen
  4. Antivirus-Software einsetzen
  5. Software nur von bekannten Quellen installieren
  6. Mails und Anhänge genau prüfen
  7. Back-Up erstellen

Den vollständigen Artikel können Sie unter folgender Adresse lesen:
https://www.internetworld.de/technik/internet/7-goldene-regeln-it-sicherheit-2138291.html


Die goldenen Regeln vom BSI-IT-Grundschutz

Die goldenen Regeln vom BSI-IT-Grundschutz können als PDF-Datei hier heruntergeladen werden. 


Der richtige Umgang mit Passwörtern

Passwörter - die Qualitätsanforderungen
Welchen Qualitätsanforderungen sollte ein Passwort genügen? Der BSI gibt hierzu eine umfangreiche Auskunft und kann hier ausführlich gelesen werden.

Ganz wichtig
Entscheidender als die Komplexität ist die Länge. Selbst aktuelle schnelle Computer brauchen teilweise Jahre, um ein Kennwort mit 20 oder mehr Zeichen zu knacken. Passwörter sollten aus mindestens acht Zeichen bestehen. Diese Zahl ist das absolute Minimum, zwölf Zeichen erhöhen die Sicherheit um ein Vielfaches, 16 sind natürlich noch besser.

Wie geht man richtig mit Passwörtern um? Dazu schreibt der BSI:
Passwörter sollten niemals unverschlüsselt auf dem PC abgelegt werden oder auf dem berühmten Notizzettel am Bildschirm kleben. Wer sich Passwörter notieren will, sollte sie stattdessen gut unter Verschluss halten bzw. auf dem Rechner in einer verschlüsselten Datei ablegen.

Mehr Informationen dazu können Sie hier lesen.

Passwort-Manager
Kostenfreier Open Source Passwort-Manager (sicheres Verwalten von Passwörtern) zum Download: https://keepass.info/

Dienstag, 29. Oktober 2019

Wichtige Begriffe in der IT-Sicherheit

Die folgenden Begriffe spielen in der IT-Sicherheit eine entscheidende Rolle und sollten auf jeden
Fall bekannt und verstanden sein:

1. Authentizität (engl.: authenticity)
Echtheit und Glaubwürdigkeit eines Objekts bzw. Subjekts, die anhand eindeutiger Identität und charakteristischen Eigenschaften prüfbar sind.

2. Datenintegrität (engl.: integrity)
Die Datenintegrität ist dann sichergestellt, wenn es Subjekten nicht möglich ist, die zu schützenden Daten unautorisiert und unbemerkt zu manipulieren.

3. Informationsvertraulichkeit (engl.: confidentiality)
Ein System gewährleistet Informationsvertraulichkeit, wenn es keine unautorisierte Informationsgewinnung ermöglicht.

4. Verfügbarkeit (engl.: availability)
Ein System gewährleistet Verfügbarkeit, wenn authentifizierte und autorisierte Subjekte in der Wahrnehmung ihrer Berechtigungen nicht unautorisiert beeinträchtigt werden können.

5. Verbindlichkeit (engl.: non repudiation)
Ein System gewährleistet Verbindlichkeit einer Menge von Aktionen, wenn es nicht möglich ist, dass ein Subjekt im Nachhinein die Durchführung einer solchen Aktion abstreiten kann.

6. Schwachstelle (engl.: weakness)
Eine Schwachstelle ist eine Schwäche eines IT-Systems, an dem das System verwundbar werden kann.

7. Bedrohung (engl.: threat)
Eine Bedrohung ist die potentielle Gefahr, die durch eine Schwachstelle ausgelöst wird.

8. Risiko (einer Bedrohung) (engl.: risk)
Ist die Wahrscheinlichkeit des Eintritts eines Schadensereignisses und die Höhe des potentiellen Schadens, der dadurch hervorgerufen werden kann.

Dienstag, 8. Oktober 2019

Kryptographische Algorithmen

Die Sicherheit eines Verschlüsselungsverfahrens darf nur von der Geheimhaltung des Schlüssels abhängen, nicht aber von der Geheimhaltung des mathematischen Algorithmus.

Durch die bereits frühe Offenlegung des mathematischen Algorithmus erhöht sich das kryptographische System enorm, denn nach der Offenlegung des Algorithmus muss sich dieser bewähren. Kann über langer Zeit keiner den Algorithmus knacken, gilt er im Allgemeinen als vertrauenswürdig und sicher.

Wann gilt ein Algorithmus als sicher?

  • Der Geldaufwand zum Knacken des Algorithmus ist deutlich höher als der Wert der verschlüsselten Daten
  • Die nötige Zeit zum Knacken des Algorithmus ist höher als die Zeit, die die Daten geheim bleiben müssen
  • Das mit einem Schlüssel verschlüsselte Datenvolumen ist kleiner als die zum Knacken benötigte Datenmenge

Mittwoch, 2. Oktober 2019

Zehn Maßnahmen zur Absicherung gegen Angriffe aus dem Internet

Viele Computer von Privatanwendern, die zum Internetsurfen verwendet werden, sind nicht ausreichend gegen die Risiken der Online-Welt geschützt. Kriminelle nutzen dies, indem sie solche Rechner mit Schadprogrammen infizieren und für ihre Zwecke missbrauchen. Dadurch können Ihnen erhebliche Schäden entstehen. Zum Beispiel können die Kriminellen Ihre Daten löschen oder ausspionieren, in Online-Shops Waren in Ihrem Namen und auf Ihre Kosten bestellen, Transaktionen beim Online-Banking manipulieren oder Ihnen den Zugang zu Ihrem Bankkonto sperren. Die Kriminellen können Ihren Rechner außerdem zum Teil eines Botnetzes machen und ihn so für Cyber-Angriffe auf Unternehmen oder andere Institutionen sowie zum Versand von Spam-E-Mails einsetzen.

Hier geht's zum vollständigen Artikel