Notizen SSCP

SSCP-Studiennotizen
1. Zugangskontrollen
2. Verwaltung
3. Audit und Überwachung
4. Risiko, Reaktion und Wiederherstellung
5. Kryptographie
6. Datenkommunikation
7. Schadcode
Modifizierte Version des ursprünglichen Studienführers von Vijayanand Banahatti

(SSCP)
1
Inhaltsverzeichnis
SSCP-Studiennotizen..............................................................................................................1
1 .0 ZUGRIFFSKONTROLLEN...................................................................................5
1.1 Identifikation, Authentifizierung, Autorisierung, Buchhaltung...........................5
1.1.1 Identifikations- und Authentifizierungstechniken........................................5
1.1.2 Autorisierungstechniken...............................................................................5
1.1.3 Buchhaltungstechniken.................................................................................5
1.1.4 Passwortverwaltung......................................................................................5
1.1.5 Sicherheit......................................................................................................5
1.2 Verwaltung der Zugangskontrolle........................................................................6
1.3 Zugangskontrollmodelle, Methoden und Implementierung.................................6
1.3.1 Art der Zugriffskontrollrichtlinien................................................................6
1.3.2 Implementierungsmethoden für Zugriffskontrollrichtlinien.........................6
1.3.3 Zugangskontrollmodelle...............................................................................7
1.3.4 Zugangskontrollmethoden..................................................................................8
1.4 Remote-Authentifizierung....................................................................................8
1.4.1 RADIUS........................................................................................................8
1.4.2 TACACS.......................................................................................................8
1.5 Single Sign-On (SSO)..........................................................................................8
1.4.1 Kerberos (weitere Informationen finden Sie auf Seite 47–50 des SSCP-
Buchs) 8
2.0 VERWALTUNG........................................................................................................10
2.1 Grundsätze der Sicherheitsverwaltung...............................................................10
2.2 CIA-Triade.........................................................................................................10
2.3 Datenklassifizierung...........................................................................................10
2.4 Phasen des Systemlebenszyklus und Sicherheitsbedenken................................10
2.5 Due Diligence / Sorgfaltspflicht.........................................................................12
2.6 Zertifizierung / Akkreditierung / Akzeptanz / Sicherheit...................................12
2.7 Daten-/Informationsspeicherung........................................................................12
2.8 Systemsicherheitsarchitektur..............................................................................12
2.8.1 System-High-Modus...................................................................................12
2.8.2 Fachmodus..................................................................................................13
2.8.3 Mehrstufiger sicherer Modus (MLS)..........................................................13
2.8.4 Hardware-Segmentierung...........................................................................13
2.8.5 Vertrauenswürdige Computerbasis.............................................................13
2.8.6 Datenschutzmechanismen...........................................................................13
2
2.9 Änderungskontrolle/Konfigurationsmanagement (S. 135-139).........................13
2.10 Richtlinie, Standard, Richtlinien, Grundlinien...................................................14
2.11 Rollen und Verantwortlichkeiten.......................................................................14
2.12 Struktur und Praktiken.......................................................................................14
2.13 Sicherheitsbewusstsein.......................................................................................14
2.14 Planung des Sicherheitsmanagements...................................................................15
2.15 Gemeinsame Entwicklung einer Sicherheitspolitik..............................................15
3.0 PRÜFUNG UND ÜBERWACHUNG........................................................................16
3.1 Kontrolltypen.....................................................................................................16
3.2 Sicherheitsaudits.................................................................................................16
3.2.1 Internes und externes Sicherheitsaudit........................................................16
3.2.2 Prüfungsprozess..........................................................................................16
3.2.3 Audit-Datenquellen (S. 192).......................................................................17
3.2.4 Buchungsprotokolle....................................................................................17
3.2.5 Methoden zur Sicherheitsüberprüfung........................................................17
3.2.6 Computergestütztes Audit-Tool (CAAT)...................................................18
3.2.7 Zentrale Protokollierungsanlage (CLF)......................................................18
3.3 Berichts- und Überwachungsmechanismus............................................................19
3.4 Angriffsarten...........................................................................................................19
3.4 STURM..............................................................................................................20
3.5 Clipping-Level...................................................................................................20
4.1 Risikomanagement (Risiken, Bedrohungen, Schwachstellen und Gefährdungen)
21
4.2 Risikoanalyse.....................................................................................................21
4.3 Risikoanalyse-/Bewertungstools und -techniken...............................................22
4.4 Wiederherstellung nach einer Katastrophe........................................................22
4.4.1 Geschäftskontinuitätsplanung (BCP) (S.268 SSCP)...................................22
4.4.2 Disaster Recovery Planning (DRP) (S.271 SSCP).....................................22
4.4.3 Backups (S. 277 SSCP)...............................................................................22
4.4.4 Business-Impact-Analyse (BIA).................................................................22
4.5 Reaktion auf einen Vorfall (S. 282 SSCP).........................................................23
5.0 KRYPTOGRAPHIE...................................................................................................24
5.1 Symmetrische Verschlüsselungsalgorithmen (S. 333 SSCP).............................25
5.2 Asymmetrische Verschlüsselungsalgorithmen (S. 331 SSCP)...........................25
5.3 Symmetrische vs. asymmetrische Systeme........................................................26
5.4 Nachrichtenintegrität..........................................................................................26
3
5.4.1 Hash-Algorithmen (S.337 SSCP)...............................................................26
5.5 Link- und Ende-zu-Ende-Verschlüsselung........................................................26
5.6 Kryptographie für E-Mails.................................................................................27
5.7 Internet sicherheit...............................................................................................27
5.8 PKI (S. 355 SSCP).............................................................................................27
5.8.1 X.509................................................................................................................28
5.9 Kryptografische Angriffe...................................................................................28
6.0 DATENKOMMUNIKATION....................................................................................28
6.1 Datenkommunikationsmodelle:.........................................................................28
6.2 TCP/IP – Transmission Control Protocol/Internet Protocol..............................29
6.3 Gängige Arten von LAN-Systemen...................................................................29
6.4 Verkabelung.......................................................................................................30
6.5 Signalisierungstypen..........................................................................................30
6.6 Übertragungsarten (Ansätze)..............................................................................30
6.6.1 LAN-Zugriffsmethoden..............................................................................30
6.7 Netzwerke...........................................................................................................31
6.8 Netzwerktopologie.............................................................................................31
6.9 IEEE-Standards..................................................................................................31
6.10 Netzwerkgeräte...................................................................................................32
6.11 Firewalls (S. 400 SSCP).....................................................................................32
6.12 Protokolle...........................................................................................................32
6.12 Remote-Authentifizierungsdienstserver.............................................................32
6.12.1 Sicherheitsprotokolle der Netzwerkschicht................................................33
6.12.2 Sicherheitsprotokolle der Anwendungsschicht...........................................33
6.13 Kommunikationssicherheitstechniken...............................................................34
7.0 SCHÄDLICHER CODE.............................................................................................35
7.1 Verschiedene Arten von Viren...........................................................................35
7.1.1 Welchen Teil Viren infizieren....................................................................35
7.1.2 Wie Viren infizieren...................................................................................35
7.2 Wie Schadcode in die Computerumgebung eingeschleust werden kann...........35
7.3 Mechanismen, die zur Verhinderung und Erkennung von Angriffen mit Schadcode
eingesetzt werden können.............................................................................................36
7.3 Häufige Angriffe.....................................................................................................36
4
1 .0 ZUGRIFFSKONTROLLEN
Zugriffskontrollobjekte: Alle Objekte, die einen kontrollierten Zugriff benötigen, können als Zugriffskontrollobjekt
betrachtet werden.
Zugriffskontrollsubjekte: Alle Benutzer, Programme und Prozesse, die eine Berechtigung für Objekte anfordern, sind
Zugriffskontrollsubjekte. Es sind diese Zugriffskontrollsubjekte, die identifiziert, authentifiziert und autorisiert werden
müssen.
Zutrittskontrollsysteme: Schnittstelle zwischen Zutrittskontrollobjekten und Zutrittskontrollsubjekten.
1.1 Identifikation, Authentifizierung, Autorisierung, Buchhaltung

1.1.1 Identifikations- und Authentifizierungstechniken
Die Identifizierung arbeitet mit der Authentifizierung zusammen und ist als ein Prozess definiert, durch den
die Identität eines Objekts festgestellt wird. Die Identifizierung erfolgt durch eine Form der
Authentifizierung.
Authentifizierungstypen Beispiel
Etwas, das du weißt Passwörter, persönliche Identifikationsnummern (PIN),
Passphrasen, Mädchenname der Mutter, Lieblingssportmannschaft
Etwas, das du hast usw
Proximity-Karten, Identifikationstoken, Schlüssel,
Identifikationsausweise, Reisepässe, Zertifikate, Transponder,
Smartcards usw.
Etwas, das du bist Fingerabdrücke, Unterschriften, Augenmerkmale,
Gesichtsmerkmale, Stimmabdrücke, DNA.
Diese drei Arten von Authentifizierungstypen können kombiniert werden, um eine höhere Sicherheit zu bieten. Diese Kombinationen werden
als Authentifizierungsfaktoren bezeichnet. (Zwei- oder dreifaktorig)
1.1.2 Autorisierungstechniken
Ein Prozess, durch den ein Zugriffskontrollsubjekt authentifiziert und identifiziert wird. Dem Subjekt wird
eine bestimmte Zugriffsebene oder -art auf das Zugriffskontrollobjekt gewährt.
1.1.3 Buchhaltungstechniken
Das Zugangskontrollsystem ist für alle sicherheitsrelevanten Transaktionen verantwortlich und bietet
Rechenschaftspflicht. Verantwortlichkeit innerhalb eines Systems bedeutet, dass jeder, der das System nutzt,
verfolgt und für seine Handlungen zur Rechenschaft gezogen oder verantwortlich gemacht wird. Beispiel:
Audit-Trail oder Protokoll zur Authentifizierung, Audit-Trail oder Protokoll zur Berechtigungserweiterung.
1.1.4 Passwortverwaltung
Die Passwortverwaltung ist ein wichtiger Bestandteil jedes Zutrittskontrollsystems. Die Auswahl,
Verwaltung und Prüfung von Passwörtern muss entweder durch automatisierte oder administrative Methoden
erfolgen.
o Passwortauswahl: Die Richtlinie befasst sich im Allgemeinen mit der Mindestlänge des Passworts, der
erforderlichen Zeichenverwendung, dem Ablauf des Passworts, der Wiederverwendung von Passwörtern
usw.
o Passwortverwaltung: Alles, was mit dem Passwort während seines gesamten Lebenszyklus passiert, von
der Notwendigkeit, dass ein Benutzer sein Passwort zurücksetzen muss, bis hin zum automatischen Ablauf
des Passworts.
o Passwortprüfung und -kontrolle: Zur Bestimmung der Gesamtfunktionalität des Zugangskontrollsystems,
um unbefugten Zugriff und Angriffe zu reduzieren. Es kann eine gute Audit-Logging-Praxis befolgt werden.
1.1.5 Sicherheit
Um Sicherheit zu gewährleisten, müssen die folgenden vier Fragen beantwortet werden: (dh CIA +
Rechenschaftspflicht) – Sind Transaktionen zwischen dem Zugriffskontrollsubjekt und dem
Zugriffskontrollobjekt vertraulich ?
- Ist die Integrität des Zugriffskontrollobjekts sichergestellt und garantiert?
- Ist das Zugriffskontrollobjekt verfügbar , um bei Bedarf darauf zugreifen zu können?
- Ist das Zugangskontrollsystem für das verantwortlich , was es authentifiziert (z. B.
Protokollierung/Prüfung)?
Wenn alle vier Fragen bejaht werden können, ist die Sicherheit ordnungsgemäß gewährleistet.
5
1.2 Verwaltung der Zugangskontrolle
Nach der Implementierung des Zutrittskontrollsystems ist die Verwaltung des Prozesses die Hauptaufgabe. Dies
beinhaltet folgende Faktoren.
Kontoverwaltung: Verwaltung aller Benutzer-, System- und Dienstkonten, die im Zutrittskontrollsystem verwendet
werden. Dazu gehören die Erstellung (Autorisierung, Rechte, Berechtigungen), die Wartung (Kontosperrung/-
zurücksetzung, Prüfung, Passwortrichtlinie) und die Zerstörung (Umbenennen oder Löschen) von Konten.
Zugriffsrechte und Berechtigungen: Der Eigentümer der Daten sollte über alle Rechte und Berechtigungen für ein
bestimmtes Konto entscheiden . Hier wird das Prinzip der geringsten Privilegien angewendet, um einem Konto alle
Rechte und Berechtigungen zu gewähren, die zur Erfüllung der erforderlichen Aufgaben erforderlich sind, jedoch nicht
mehr als erforderlich oder erforderlich.
Überwachung: Die Änderungen an Konten und die Eskalation von Berechtigungen sollten protokolliert und aus
Sicherheitsgründen ständig überwacht werden.
Sicherheit bei Wechselmedien: Alle Wechselmedien des Systems können eine Schwachstelle darstellen. Alle
Wechselmedien sollten auf irgendeine Weise eingeschränkt oder kontrolliert werden, um die bestmögliche
Systemsicherheit zu gewährleisten.
Verwaltung von Datencaches: Die Zugriffskontrolle gilt nicht nur für Benutzer – jede Art von Informationen, die sich
im System befinden, muss berücksichtigt werden – z. B. temporäre Datencaches (Auslagerungsdatei, Dr. Watson,
TMP-Dateien usw.).
1.3 Zugangskontrollmodelle, Methoden und Implementierung

1.3.1 Art der Zugriffskontrollrichtlinien
Es werden Zugriffskontrollrichtlinien eingeführt, um Sicherheitsrisiken zu mindern und zu kontrollieren.
Diese Richtlinien sind die Richtlinien, die sowohl von automatisierten Zugangskontrollsystemen als auch von
der tatsächlichen physischen Sicherheit befolgt werden sollten. Die folgenden Richtlinien arbeiten zusammen,
um eine globale Zugriffskontrollrichtlinie zu unterstützen.
Art der Richtlinien Beschreibung

Vorbeugend Richtlinien, um zu verhindern, dass die Schwachstellen ausgenutzt
werden. Zum Beispiel Patching-Richtlinien,
Hintergrundüberprüfungen, Datenklassifizierung,
Detektiv Aufgabentrennung usw wird implementiert, um zu erkennen,
Diese Art von Richtlinie
wann ein Angriff stattfindet. Z. B. IDS, Protokollüberwachung usw
Korrigierend Richtlinien, die sofortige Korrekturmaßnahmen vorsehen, nachdem
die Schwachstellen ausgenutzt wurden. Zu diesen Richtlinien
gehören Notfallwiederherstellungspläne,
Notfallwiederherstellungsverfahren, Schwellenwerte für die
Passwortsperre
NB: Nicht mit Kontrolltypen verwechseln (S. 14) usw.
1.3.2 Implementierungsmethoden für Zugriffskontrollrichtlinien
Administrativ: Bei dieser Implementierung wird eine Richtlinie durch Arbeitsplatzrichtlinien oder an
Untergebene weitergegebene Anweisungen administrativ kontrolliert. Sie sollten keine automatisierten
Schritte einbauen und von den Mitarbeitern verlangen, dass sie tun, was ihnen gesagt wird . Es bietet eine
einfache Möglichkeit, eine erste Verteidigungslinie zu implementieren. Z. B. schriftliche Richtlinien zu
Passwörtern (Länge, Ablauf, Sperrung) usw.
Logisch/technisch: In diesen Implementierungen werden automatisierte Methoden zur Durchsetzung von
Zugriffskontrollrichtlinien verwendet. Diese Art der Implementierung von Richtlinien schränkt menschliche
Fehler während der Betriebsphase ein. Z. B. tatsächliche Sperrkennwortbeschränkungen implementiert
(Länge, Ablauf, Sperrung), Verwendung von SSL, SSH usw.
Physisch: Diese Art der Implementierung umfasst alles von der Zugangskontrolle zu einem sicheren
Gebäude bis zum Schutz der Netzwerkverkabelung vor elektromagnetischen Störungen (EMI). Beispiel:
Sicherheitspersonal, biometrische Geräte, Ausweise, Perimeterverteidigungen (Mauern/Zäune), physische
Schlösser.
Hinweis 1: Die Richtlinien und Implementierungen können kombiniert werden – z. B.
präventiv/administrativ (z. B. schriftliche Passwortrichtlinie); Detektiv / Logisch/Technisch (z. B. IDS);
Korrektiv/administrativ (z. B. Notfallwiederherstellungsplan). Es gibt auch einige, z. B. CCTC, die als
6
präventiv/physisch (nur bei der Aufzeichnung) und detektiv/physisch (bei aktiver Überwachung) angesehen
werden können.
Hinweis 2: Verwechseln Sie die SSCP-Nutzung von Richtlinien nicht mit Windows-Richtlinien (z. B.
Mindestlänge des Passworts usw.).
1.3.3 Zugangskontrollmodelle
Discretionary Access Control (DAC): Der Dateneigentümer entscheidet über den Zugriff. (Der Besitzer kann
die Berechtigungen ändern ).
Mandatory Access Control (MAC): Das System entscheidet über den Zugriff anhand der Klassifizierung
(Sensitivity Label). Stärker als DAC. (Nur der zentrale Administrator kann Berechtigungen ändern, aber der
Dateneigentümer entscheidet weiterhin über die Datenklassifizierung .)
Rollenbasierte Zugriffskontrolle (RBAC), auch nicht diskretionär genannt: Die Rolle des Benutzers/der
Aufgabe (Subjekt) bestimmt den Zugriff auf das Datenobjekt. Verwendet einen zentral verwalteten Satz von
Steuerelementen, um zu bestimmen, wie Subjekte und Objekte interagieren.
Formale Modelle:
1. Biba
Erstes formales Modell zum Thema Integrität . Das Biba-Modell basiert seine Zugriffskontrolle auf
Integritätsebenen. Es besteht aus drei Hauptregeln.
1. Ein Subjekt mit einer bestimmten Integritätsstufe X kann nur Objekte mit der gleichen oder einer höheren
Integritätsstufe lesen – das einfache Integritätsaxiom .
2. Ein Subjekt mit der Integritätsstufe X kann nur Objekte mit der gleichen oder einer niedrigeren
Integritätsstufe schreiben – das * (Stern-)Integritätsaxiom .
3. Ein Subjekt mit der Integritätsstufe X kann nur ein Subjekt mit derselben oder einer niedrigeren
Integritätsstufe aufrufen .
2. Clark/Wilson
Dieses Modell ähnelt Biba, da es auf Integrität abzielt . Schutz der Informationsintegrität durch Konzentration
darauf, autorisierte Benutzer daran zu hindern, unbefugte Datenänderungen, Betrug und Fehler in kommerziellen
Anwendungen vorzunehmen.
Dabei kommt die Funktionstrennung bzw. Funktionstrennung zum Einsatz . Der Grundsatz der Aufgabentrennung
besagt, dass keine einzelne Person eine Aufgabe von Anfang bis Ende ausführen sollte, sondern dass die Aufgabe
auf zwei oder mehr Personen aufgeteilt werden sollte, um Betrug durch eine allein handelnde Person zu
verhindern. Dadurch wird die Integrität des Zugriffskontrollobjekts sichergestellt, indem der zum Erstellen oder
Ändern des Objekts verwendete Prozess gesichert wird.
3. Bell/LaPadula
Dieses formale Modell legt fest, dass allen Zugriffskontrollobjekten eine Mindestsicherheitsstufe zugewiesen ist,
sodass Zugriffskontrollsubjekte mit einer niedrigeren Sicherheitsstufe als der Sicherheitsstufe der Objekte nicht
auf das Objekt zugreifen können. Das formale Bell-LaPadula-Modell befasst sich nur mit der Vertraulichkeit.
Darauf basiert das MAC-Modell. Bell-LaPadula bildete auch die Grundlage des ursprünglichen „Orange Book“.
Hinweis: Bell-LaPadula geht nicht auf Integrität oder Verfügbarkeit ein. Denken Sie daran: Kein Vorlesen / kein
Aufschreiben.
ORANGE BOOK: Buch „Trusted Computer System Evaluation Criteria (TCSEC)“ des
Verteidigungsministeriums oder das „Orange“-Buch. Für Orange Book muss das System als Standalone-System
konfiguriert werden .
Aufteilung Ebene Definition

A: GEPRÜFTER SCHUTZ A1 Geprüfter Schutz/Design
B: OBLIGATORISCHER SCHUTZ B1 Beschrifteter Sicherheitsschutz
B2 Strukturierter Schutz
B3 Sicherheitsdomänen
C: DISKRETIONÄRER SCHUTZ C1 Ermessenssicherheit
C2 Kontrollierter Zugriffsschutz
D: MINIMALER SCHUTZ Keiner Minimale Schutzsicherheit – Bewertet und
fehlgeschlagen
RED BOOK: Besteht aus zwei Teilen: „Trusted Network Interpretation of the TCSEC“ und „Trusted Network
Interpretation Environments Guideline: Leitfaden zur Anwendung der Trusted Network Interpretation“. Die
7
Richtlinien in diesem Buch sind genauso streng wie das Orange-Buch selbst, es ist jedoch für den Einsatz in
Netzwerkumgebungen konzipiert .
Hinweis: Das Orange-Buch befasst sich NICHT mit Integrität.
1.3.4 Zugangskontrollmethoden
Zentralisierte Zugriffskontrolle: Alle Zugriffskontrollanfragen werden an einen zentralen

Authentifizierungspunkt weitergeleitet. Dieser Systemtyp ermöglicht die zentrale Verwaltung des gesamten
Zutrittskontrollsystems.
Verringert den Verwaltungsaufwand, erhöht aber auch die Kosten. Umsetzung schwieriger. Beispiel: Kerberos,
Remote Authentication Dial-In User Service (RADIUS) und Terminal Access Controller Access Control System
(TACACS), TACACS+ (ermöglicht die Verschlüsselung von Daten).
Dezentrale Zugangskontrolle:
Das Zugangskontrollsystem ist nicht auf ein einzelnes Computersystem oder eine Gruppe von Systemen
zentralisiert. Bietet den Vorteil, die Funktionalität eines Zugangskontrollsystems in Fällen bereitzustellen, in denen
die Verbindung zu einem zentralen Zugangskontrollsystem schwierig ist. Im Vergleich zu einem zentralisierten
Zugangskontrollsystem ist es schwierig, ein dezentrales Zugangskontrollsystem aufrechtzuerhalten. Einige
Beispiele hierfür sind eine Windows-Arbeitsgruppe, in der jedes Mitglied der Arbeitsgruppe die Zugriffskontrolle
übernimmt, oder ein Datenbanksystem, das seine eigene Authentifizierung übernimmt.
1.4 Remote-Authentifizierung
Um Remote-Benutzern in kleinen Organisationen eine zuverlässige Authentifizierung zu ermöglichen, ist es möglich,
die Standardauthentifizierungsmethode der Software zu verwenden, die für den Remote-Zugriff verwendet wird. Für
große Organisationen werden die folgenden Authentifizierungsmethoden verwendet: Remote Authentication Dial-In
User Service (RADIUS) und Terminal Access Controller Access Control System (TACACS/TACACS+).
1.4.1 RADIUS
Mithilfe von RADIUS akzeptiert ein Remote-Zugriffsserver die Authentifizierungsdaten des
Zugriffskontrollsubjekts und leitet sie zur Authentifizierung an den RADIUS-Server weiter. Der RADIUS-Server
antwortet dann dem RAS-Server entweder mit Autorisierung oder Ablehnung. Ein großer Vorteil von RADIUS
besteht darin, dass die Kommunikation zwischen dem RADIUS-Server und dem RAS-Server verschlüsselt ist,
was dazu beiträgt, die Gesamtsicherheit der Zugriffskontrolle zu erhöhen.
1.4.2 TACACS
Älter, verwendet keine Verschlüsselung und wird seltener verwendet. Es ermöglicht einen zentralisierten
Zugangskontrollansatz, der alle Zugangskontrolländerungen an einem einzigen Ort isoliert. Wenn der TACACS-
Server die Identifikationsdaten empfängt, gibt er entweder Autorisierungsinformationen zurück oder verweigert
dem Benutzer den Zugriff. Diese Informationen werden im Klartext an den RAS-Server zurückgegeben und der
RAS-Server reagiert entsprechend. 1.4.3 TACACS+
Wie bei TACACS werden auch bei dieser Authentifizierung die Informationen in einem verschlüsselten Format
über das Netzwerk übertragen.
1.5 Single Sign-On (SSO)

Bei SSO authentifiziert sich der Benutzer einmal und die Tatsache, dass er authentifiziert wurde, wird an jedes System
weitergegeben, auf das er zuzugreifen versucht. Einige SSO-Produkte sind:
- Kerberos
( siehe unten ) - netsp - x.509 (denken Sie an NSD)
- SESAM
- Kryptoritter - Snareworks
Vorteil von SSO Nachteile von SSO
- Stellen Sie den Zugriff auf Systeme schnell und - Kosten.
effizient ein bzw. feuern Sie ihn ein bzw. aktivieren - Schwierig umzusetzen.
bzw. deaktivieren Sie ihn. - Wenn das SSO-Passwort des Benutzers
- Reduzierter Verwaltungsaufwand für vergessene kompromittiert wird, hat der Angreifer Zugriff auf
Passwörter. alle Systeme des Benutzers.
1.4.1 Kerberos (weitere Informationen finden Sie auf Seite 47–50 des SSCP-Buchs)
Kerberos ist ein Netzwerkauthentifizierungsprotokoll, das eine starke Authentifizierung für Client/Server-
Anwendungen durch die Verwendung von Authentifizierung mit symmetrischen Schlüsseln und Tickets
(Authentifizierungstokens) ermöglicht. Kerberos-Systeme verwenden private Schlüssel und ein Kerberos-
Server muss über Kopien aller Schlüssel verfügen, was ein hohes Maß an physischer Sicherheit erfordert .
Es ermöglicht eine plattformübergreifende Authentifizierung.
8
Kerberos verfügt über ein Key Distribution Center (KDC), das alle Schlüssel speichert und zentrale
Authentifizierungsdienste bereitstellt. Es verwendet einen Zeitstempel der IT-Tickets, um sicherzustellen, dass
diese nicht kompromittiert werden (dh Nichtabstreitbarkeit), und eine Gesamtkontrollstruktur, die als „ Realm“
bezeichnet wird. Aufgrund der Zeitstempelung ist es wichtig, dass die Uhren der Systeme synchronisiert sind.
Anfällig für Replay-Angriffe, wenn das Ticket innerhalb eines vorgegebenen Zeitrahmens kompromittiert wird.
Der Authentication Service (AS) ist der Teil des KDC, der Clients authentifiziert. Der Ticket Granting Service
(TGS) erstellt die Tickets und stellt sie den Kunden aus.
Benutzeranmeldevorgang:
1. Der Benutzer identifiziert sich und präsentiert dem KDC seine Anmeldeinformationen (Passwort, Smartcard
usw.).
2. Der AS authentifiziert die Anmeldeinformationen.
3. Das TGS stellt ein Ticket Granting Ticket (TGT) aus, das dem Client-Token zugeordnet ist.
Das TGT läuft ab, wenn der Benutzer seine Sitzung beendet (die Verbindung trennt/abmeldet) und wird für
die Dauer der Sitzung lokal zwischengespeichert.
Ressourcenzugriffsprozess:
Dann wie oben
4. Das TGT wird dem KDC zusammen mit Details zu der Remote-Ressource vorgelegt, auf die der Client
Zugriff benötigt.
5. Das KDC gibt ein Sitzungsticket an den Client zurück.
6. Das Sitzungsticket wird der Remote-Ressource vorgelegt und der Zugriff wird gewährt.
Hinweis: Kerberos befasst sich NICHT mit der Verfügbarkeit.
9
2.0 VERWALTUNG
2.1 Grundsätze der Sicherheitsverwaltung
Genehmigung Ein Prozess, durch den ein Zugriffskontrollsubjekt authentifiziert und identifiziert wird. Dem
Subjekt wird eine bestimmte Zugriffsebene oder -art auf das Zugriffskontrollobjekt gewährt.
Identifikation und Die Identifizierung arbeitet mit der Authentifizierung zusammen und ist als ein Prozess
Authentifizierung definiert, durch den die Identität eines Objekts festgestellt wird. Die Identifizierung erfolgt
durch eine Form der Authentifizierung.
Rechenschaftspflicht Verantwortlichkeit innerhalb eines Systems bedeutet, dass jeder, der das System nutzt,
verfolgt und für seine Handlungen zur Rechenschaft gezogen oder verantwortlich gemacht
wird. Beispiel: Audit-Trail oder Protokoll zur Authentifizierung, Audit-Trail oder Protokoll
Unbestreitbarkeit Nichtabstreitbarkeit ist ein Kommunikationsmerkmal, das darauf abzielt, künftige falsche
Ablehnungen einer Beteiligung durch eine der Parteien zu verhindern . Unbestreitbarkeit ist
daher ein wesentliches Element des Vertrauens im E-Business.
Geringste Privilegien Das Prinzip der geringsten Rechte besagt, dass einem Benutzer ausreichend Zugriff auf das
System gewährt werden sollte, damit er die für seine Arbeit erforderlichen Aufgaben
ausführen kann. Erhöhte Zugriffsebenen sollten erst dann gewährt werden, wenn sie für die
Ausführung beruflicher Aufgaben erforderlich sind. Eigentümer der Informationen in einem
System sind für die Informationen verantwortlich und verfügen über die entsprechende
Datenklassifizierung Der Hauptzweck der Datenklassifizierung besteht darin, den Grad der Vertraulichkeit,
Integrität und Verfügbarkeit anzugeben, der für jede Art von Informationen erforderlich ist.
Es trägt dazu bei, sicherzustellen, dass die Daten auf die kostengünstigste Weise geschützt
werden. Über den Grad der Klassifizierung entscheidet stets der Dateneigentümer.
2.2 CIA-Triade
Vertraulichkeit
Vertraulichkeit bedeutet, dass Informationen im System/Netzwerk vor der Offenlegung durch Unbefugte geschützt
sind.
Integrität
Integrität von Informationen innerhalb einer Organisation bedeutet, dass die Informationen vollständig und vollständig
sind und in keiner Weise verändert wurden, außer von Personen, die zur Manipulation berechtigt sind. Die Integrität
eines Computers oder Informationssystems könnte sich auf die Integrität der darin enthaltenen kritischen Informationen
auswirken. Der Verlust der Integrität eines Systems oder der Informationen in diesem System bedeutet, dass den
Informationen nicht mehr vertraut werden kann.
Verfügbarkeit
Verfügbarkeit bedeutet, dass die Informationen genau dann verfügbar sind, wenn sie benötigt werden. Wenn man die
Verfügbarkeit kritischer Informationen innerhalb einer Organisation betrachtet, ist es leicht zu erkennen, warum es so
wichtig ist, dass sie immer verfügbar sind, wenn sie benötigt werden.
2.3 Datenklassifizierung
Um zu entscheiden, welches Schutzniveau und wie viel, wird empfohlen, eine Analyse durchzuführen, die den Wert
von Informationen und Systemressourcen ermittelt. Der Wert kann ermittelt werden, indem die Auswirkungen durch
Datenverlust, unbefugte Offenlegung von Informationen, die Kosten für den Ersatz oder das Ausmaß der
Peinlichkeit/des Reputationsverlusts analysiert werden. Es ist definiert, dass jede Ebene schwerwiegendere Folgen hat,
wenn sie nicht geschützt ist. Denken Sie daran, dass der Dateneigentümer immer über die Klassifizierungsebene
entscheidet. Gemeinsame Klassifizierungsstufen (von der höchsten zur niedrigsten Stufe)
Kommerziell Militär
Vertraulich
Privat sensibel
Öffentlich Streng geheim Geheim
Vertraulich Sensibel, aber
nicht klassifiziert Nicht
klassifiziert
2.4 Phasen des Systemlebenszyklus und Sicherheitsbedenken
• Gilt für Neuentwicklungen sowie Systemverbesserungen und Wartung.
1
0
• Sicherheit sollte in jeder Phase des Zyklus einbezogen werden.
• Aufgrund der zusätzlichen Kosten, Zeit und Mühe sollte die Sicherheit nicht erst am Ende der Entwicklung
thematisiert werden.
• Die Aufgabentrennung sollte in jeder Phase praktiziert werden (z. B. hat der Programmierer keinen
Produktionszugriff).
• Änderungen müssen autorisiert, getestet und aufgezeichnet werden. Änderungen dürfen die Sicherheit des
Systems oder seine Fähigkeit zur Durchsetzung der Sicherheitsrichtlinie nicht beeinträchtigen.
Die sieben Phasen sind:
1. Projektinitiierung (Anforderungsanalyse)
•Erste Studie und Konzeption des Projekts.
InfoSec-Beteiligung:
^ Führen Sie eine Risikobewertung durch, um:
- Definieren Sie die Sensibilität der Informationen und das erforderliche Schutzniveau
- Definieren Sie die Kritikalität von System- und Sicherheitsrisiken
- Stellen Sie sicher, dass regulatorische/rechtliche/datenschutzrechtliche Probleme
berücksichtigt werden und die Sicherheitsstandards eingehalten werden
2. Projektdefinition, Design und Analyse (Softwarepläne und -anforderungen)
• Anforderungen an das Funktions-/Systemdesign
• Stellen Sie sicher, dass die Anforderungen durch die Anwendung erfüllt werden können.
^ Bestimmen Sie das akzeptable Risikoniveau (Verlusthöhe, Verlustprozentsatz, zulässige
Abweichung)
^ Identifizieren Sie Sicherheitsanforderungen und -kontrollen
^ Ermitteln Sie die Schwachstellen im Prozess, z. B. Bedrohungen und Schwachstellen
^ Definieren Sie Kontrollen, um die Exposition zu verringern
^ Sorgfaltspflicht, rechtliche Verpflichtungen und angemessene Sorgfalt
3. Systemdesignspezifikation
• Detaillierte Planung funktionaler Komponenten
• Entwurf von Testplänen und Programmsteuerungen
^ Integrieren Sie Sicherheitsmechanismen und überprüfen Sie Programmkontrollen
^ Bewerten Sie Verschlüsselungsoptionen
4. Software-Entwicklung
•Schreiben/Implementieren des Codes/der Software
^ Entwickeln Sie Code für die Informationssicherheit
^ Implementieren Sie Unit-Tests
^ Dokumentation entwickeln
5. Implementierung, Evaluierung und Test
• Installieren von Systemsoftware und Testen von Software anhand der Anforderungen
• Dokumentation des internen Designs der Software
^ Führen Sie Abnahmetests durch
^ Sicherheitssoftware testen
^ Zertifizierung und Akkreditierung (sofern zutreffend)
6. Wartung
•Produktänderungen und Fehlerbehebungen
^ Penetrationstests und Schwachstellenbewertung
^ Neuzertifizierung
7. Überarbeitung oder Entsorgung
• Wesentliche Änderung am Produkt
• Bewertung neuer Anforderungen und Entscheidung zum Ersetzen statt Neuprogrammieren
^ Bewertung schwerwiegender Sicherheitslücken
^ Sicherheitstests wichtiger Änderungen
1
1
2.5 Due Diligence / Sorgfaltspflicht
Die Konzepte der Sorgfaltspflicht und der gebotenen Sorgfalt erfordern, dass eine Organisation im Vergleich zu ihrer
Branche gute Geschäftspraktiken anwendet.
Unter Due Diligence versteht man das kontinuierliche Bemühen, sicherzustellen, dass die richtigen Richtlinien,
Verfahren und Standards vorhanden sind und befolgt werden. Due Diligence kann durch verschiedene gesetzliche
Anforderungen in der Branche der Organisation oder die Einhaltung staatlicher Regulierungsstandards vorgeschrieben
sein.
Ein Beispiel für Due Care ist die Schulung von Mitarbeitern im Sicherheitsbewusstsein – im Gegensatz zur einfachen
Erstellung einer Richtlinie ohne Umsetzungsplan oder Folgemaßnahmen. Ein weiteres Beispiel ist die Verpflichtung
von Mitarbeitern, eine Erklärung zu unterzeichnen, dass sie die entsprechenden Nutzungsrichtlinien gelesen und
verstanden haben.
Laienhaft ausgedrückt ist Due Diligence die Verantwortung eines Unternehmens , Probleme zu untersuchen und zu
identifizieren , und Due Diligence bedeutet, etwas gegen die Ergebnisse zu unternehmen .
2.6 Zertifizierung / Akkreditierung / Akzeptanz / Sicherheit

Bei der Zertifizierung geht es um die Prüfung und Bewertung des Sicherheitsmechanismus in einem System.
Die Akkreditierung bezieht sich darauf, dass das Management das System und seine Sicherheitsstufe offiziell
anerkennt ODER von einer benannten Genehmigungsbehörde genehmigt wird .
Die Abnahme bedeutet, dass ein System alle für das Projekt festgelegten Sicherheits- und Leistungsanforderungen
erfüllt . Assurance ist ein Begriff, der den Grad des Vertrauens in ein System definiert.
Sobald ein System aufgebaut ist, beginnt der Zertifizierungsprozess , bei dem das System auf alle Sicherheits- und
Funktionsanforderungen getestet wird. Wenn das System alle Anforderungen erfüllt, erhält es die Akkreditierung .
Anschließend werden akkreditierte Systeme in die betriebliche Umgebung übernommen . Diese Akzeptanz ist darauf
zurückzuführen, dass die Eigentümer und Benutzer des Systems nun ein angemessenes Maß an Sicherheit haben, dass
das System sowohl aus Sicherheits- als auch aus funktionaler Sicht wie vorgesehen funktioniert.
2.7 Daten-/Informationsspeicherung
Primär : Hauptspeicher, auf den die CPU direkt zugreifen kann – flüchtig und verliert bei Stromausfall seinen Wert.
Sekundär : Massenspeichergeräte (Festplatte, Diskettenlaufwerk, Bänder, CDs). Behält die Daten auch dann bei, wenn
der Computer ausgeschaltet ist.
Echter (physischer) Speicher : Bezeichnet den Hauptspeicher oder den Arbeitsspeicher (RAM).
Virtueller Speicher : „Imaginärer“ Speicherbereich, der vom Betriebssystem unterstützt und in Verbindung mit
Hardware implementiert wird.
RAM (Random Access Memory) : Kann Daten lesen und schreiben.
ROM (Nur-Lese-Speicher) : Kann nur Daten lesen und Anweisungen zum Starten des Computers speichern.
PROM (Programmable Read Only Memory) : Speicherchip, auf dem Programme gespeichert werden können. Es
kann jedoch nicht gelöscht und zum Speichern anderer Daten verwendet werden.
EPROM (Erasable Programmable Read Only Memory) : Kann durch Einwirkung von ultraviolettem Licht gelöscht
werden.
EEPROM (Electrically Erasable...PROM) : Kann durch Einwirkung elektrischer Ladung gelöscht werden.
2.8 Systemsicherheitsarchitektur
Behandelt sich speziell mit den Mechanismen innerhalb eines Systems, die sicherstellen, dass Informationen während
der Verarbeitung oder Nutzung nicht manipuliert werden . Verschiedene Informationsebenen werden entsprechend
ihrer Sensibilität gekennzeichnet und klassifiziert.
Es gibt drei gängige Modi zur Steuerung des Zugriffs auf Systeme, die vertrauliche Informationen enthalten: Hinweis:
Bei allen handelt es sich um MAC-Modelle.
2.8.1 System-High-Modus
Für ALLE Informationen im System ist eine entsprechende Freigabe erforderlich. Alle Benutzer, die Zugriff
haben, müssen über eine Sicherheitsfreigabe verfügen, die ihren Zugriff autorisiert. Obwohl alle
Benutzer Zugriff haben, müssen sie möglicherweise nicht alle Informationen kennen, da es verschiedene
Ebenen der Informationsklassifizierung gibt. Die Ebenen der Informationsklassifizierung sind deutlich
gekennzeichnet, um die Zugriffsanforderungen deutlich zu machen. Alle Benutzer können je nach
Informationsbedarf auf EINIGE Daten zugreifen.
1
2
2.8.2 Fachmodus
Für das HÖCHSTE Maß an Informationen im System ist die entsprechende Freigabe erforderlich. Alle
Benutzer, die Zugriff auf das System haben, müssen über eine Sicherheitsfreigabe verfügen, die ihren
Zugriff autorisiert. Jeder Benutzer ist nur dann berechtigt, auf die Informationen zuzugreifen, wenn eine
„Need-to-know“-Anforderung begründet werden kann. Ein strenger Dokumentationsprozess verfolgt den
jedem Benutzer gewährten Zugriff und die Person, die den Zugriff gewährt hat. Alle Benutzer können auf
EINIGE Daten zugreifen, je nach Informationsbedarf und formeller Zugriffsgenehmigung.
2.8.3 Mehrstufiger sicherer Modus (MLS)

Für ALLE Informationen im System ist eine entsprechende Freigabe erforderlich. Alle Benutzer, die Zugriff
auf das System haben, müssen über eine Sicherheitsfreigabe verfügen, die ihren Zugriff autorisiert.
Verwendet Datenklassifizierung und Mandatory Access Control (MAC), um das System zu sichern. Prozesse
und Daten werden kontrolliert. Prozesse niedrigerer Sicherheitsstufen dürfen nicht auf Prozesse höherer
Stufen zugreifen. Alle Benutzer können auf EINIGE Daten zugreifen, je nach Informationsbedarf,
formaler Zugriffsgenehmigung und Freigabestufe.
Darüber hinaus gibt es mehrere Konzepte der Systemsicherheitsarchitektur, die angewendet werden können:
2.8.4 Hardware-Segmentierung
Innerhalb eines Systems werden Speicherzuweisungen in vollständig voneinander getrennte Segmente
aufgeteilt. Der Kernel im Betriebssystem steuert, wie der Speicher jedem Prozess zugewiesen wird, und stellt
gerade genug Speicher zur Verfügung, damit der Prozess die Anwendung und die Prozessdaten laden kann.
Jeder Prozess verfügt über einen eigenen zugewiesenen Speicher und jedes Segment ist voreinander
geschützt.
2.8.5 Vertrauenswürdige Computerbasis
Definiert ist die Gesamtheit der Schutzmechanismen innerhalb eines Computersystems. Beinhaltet Hardware,
Software und Firmware. Entstanden aus dem Orange Book.
Sicherheitsbereich: Definiert als Ressourcen, die außerhalb von TCB liegen . Die Kommunikation zwischen
vertrauenswürdigen und nicht vertrauenswürdigen Komponenten muss kontrolliert werden, um
sicherzustellen, dass vertrauliche Informationen nicht auf unbeabsichtigte Weise weitergegeben werden.
Referenzmonitor: Ist eine abstrakte Maschine (Zugriffskontrollsystem ), die alle Zugriffe von Subjekten auf
Objekte vermittelt , um sicherzustellen, dass die Subjekte über die erforderlichen Zugriffsrechte verfügen und
um die Objekte vor unbefugtem Zugriff und zerstörerischer Veränderung zu schützen. Vergleicht die
Zugriffsebene mit der Datenklassifizierung, um den Zugriff zuzulassen/zu verweigern .
Sicherheitskernel: Besteht aus Mechanismen (H/W, S/W, Firmware), die unter den TCB fallen und den
Referenzmonitor implementieren und durchsetzen . Der Kern von TCB ist der gebräuchlichste Ansatz zum
Aufbau vertrauenswürdiger Systeme. Muss vom Referenzmonitor isoliert sein.
2.8.6 Datenschutzmechanismen
Layered Design: Layered Design soll Vorgänge schützen, die innerhalb des Kernels ausgeführt werden. Jede
Schicht befasst sich mit einer bestimmten Aktivität: Die äußere Schicht führt normale Aufgaben aus (am
wenigsten vertrauenswürdig) und die innere Schicht komplexere und geschützte Aufgaben (am
vertrauenswürdigsten). Solche Segmentierungsprozesse bedeuten, dass nicht vertrauenswürdige
Benutzerprozesse, die in den äußeren Schichten ausgeführt werden, das Kernsystem nicht beschädigen
können.
Datenabstraktion: Datenabstraktion ist der Prozess der Definition, was ein Objekt ist, welche Werte es
haben darf und welche Operationen für das Objekt zulässig sind. Die Definition eines Objekts wird auf ihre
wesentlichste Form heruntergebrochen, so dass nur die Details übrig bleiben, die für den Betrieb des Systems
erforderlich sind. Ausblenden von Daten: Beim Ausblenden von Daten werden Informationen, die einer
Prozessebene im Ebenenmodell zur Verfügung stehen, vor Prozessen in anderen Ebenen ausgeblendet. Das
Ausblenden von Daten ist ein Schutzmechanismus, der die Kernsystemprozesse vor Manipulation oder
Beschädigung schützen soll.
2.9 Änderungskontrolle/Konfigurationsmanagement (S. 135-139)
Änderungen werden sowohl im Anwendungsentwicklungsprozess als auch im normalen Netzwerk- und
Anwendungsaktualisierungsprozess auftreten – der Antragsteller versteht nicht unbedingt die Auswirkungen dieser
Änderungen. Änderungen sind in jeder Phase der Systementwicklung unvermeidlich. Die Änderungskontrolle gilt nicht
so streng für den Entwicklungsprozess wie für Produktionssysteme.
Die Änderungskontrolle trägt dazu bei, sicherzustellen, dass die Sicherheitsrichtlinien und die Infrastruktur, die zum
Schutz des Unternehmens erstellt wurden, nicht durch Änderungen beeinträchtigt werden, die täglich im System
auftreten.
1
3
Beim Konfigurationsmanagement handelt es sich um den Prozess der Identifizierung, Analyse und Steuerung der
Software und Hardware eines Systems. Der Prozess beginnt mit der Anforderung einer Konfigurationsänderung, die an
das Configuration Control Board (CCB) gesendet wird. Der Vorstand prüft die Auswirkungen der Änderung und
genehmigt sie oder lehnt sie ab.
Zur Änderungskontrolle/Konfigurationsverwaltung verwendete Tools: Prüfsumme (z. B. MD5-Hash), digitale
Signaturen, IDS, Dateiintegritätsmonitore, Unternehmenssicherheitsmanager, Softwarekonfigurationsverwaltung. Diese
Tools können alle verwendet werden, um die Integrität sowohl der Produktions- als auch der
Entwicklungsdateien/Software zu überprüfen und sicherzustellen, dass das Unternehmen keinen Ausfall aufgrund
schlechter Änderungen erleidet (d. h. Änderungen, die korrekt geplant, aber beispielsweise aufgrund beschädigter
Dateien mit Fehlern umgesetzt wurden). .). Sie können auch dabei helfen, „goldene Bilder“ von Produktionsdaten/-
konfigurationen zu erstellen.
Es ist wichtig, den Änderungskontroll-/Konfigurationsmanagementprozess durchzusetzen . Einige Tools zur

Erkennung von Verstößen sind: NetIQ, PentaSafe, PoliVec und Tripwire. Diese Tools bieten Lösungen zur
Überwachung der Konfiguration von Systemen und zur Benachrichtigung bei unnatürlichen Änderungen.
2.10 Richtlinie, Standard, Richtlinien, Grundlinien
Sicherheitsrich Ist eine allgemeine Erklärung, die von der Geschäftsleitung verfasst wurde und vorgibt, welche
tlinie Art von Rolle die Sicherheit innerhalb der Organisation spielt. Sie gibt außerdem Spielraum und
Standards Richtung für Hardware-/Softwareprodukte
Gibt an, wie alle weiteren Sicherheitsmaßnahmen vor.werden sollen. Bereitstellung eines Mittels,
verwendet
um sicherzustellen, dass bestimmte Technologien, Anwendungen, Parameter und Verfahren auf
einheitliche Weise ausgeführt werden. Diese Regeln sind in einem Unternehmen in der Regel
Grundlinien Bietet das erforderliche Mindestmaß an Sicherheit im gesamten Unternehmen.
Richtlinien Sind empfohlene Maßnahmen und Betriebsleitfäden, wenn eine bestimmte Norm nicht zutrifft.
Verfahren Sind Schritt-für-Schritt-Aktionen zur Erreichung einer bestimmten Aufgabe.
2.11 Rollen und Verantwortlichkeiten

Senior Manager Letztlich verantwortlich für die Sicherheit der Organisation und den Schutz ihrer
Sicherheitsprofi Vermögenswerte.
Funktional verantwortlich für die Sicherheit und führt die Weisungen des leitenden
Dateneigentümer Ist in der Regel Mitglied der Geschäftsleitung und trägt die oberste Verantwortung für
den Schutz und die Nutzung der Daten . Entscheidet über die Klassifizierung der Daten .
Überträgt die Verantwortung für die tägliche Pflege der Daten an den Datenverwalter.
Datenverwalter Die Verantwortung für die Pflege und den Schutz der Daten liegt bei uns.
Benutzer Jede Person, die die Daten routinemäßig für arbeitsbezogene Aufgaben verwendet. Zur
Erfüllung der Aufgaben muss über den erforderlichen Zugriff auf die Daten verfügen.
2.12 Struktur und Praktiken

Aufgabentrennung Stellt sicher, dass eine einzelne Person eine riskante Aufgabe nicht alleine
erledigen kann. Um irgendeine Art von Zerstörung oder Betrug herbeizuführen,
müsste mehr als eine Person zusammenarbeiten, was die Wahrscheinlichkeit einer
Ausbeutung
Geheimhaltungsvereinbarun Zum Schutz drastisch verringert.wenn ein Mitarbeiter aus dem einen oder anderen
des Unternehmens,
Jobwechsel Niemand sollte über einen längeren Zeitraum in einer Position bleiben, da dies
dazu führen kann, dass dieser einzelnen Person zu viel Kontrolle gegeben wird.
2.13 Sicherheitsbewusstsein
Das schwächste Glied in jedem Sicherheitsprogramm in jeder Organisation sind die Benutzer. Ein Teil eines
Qualitätssicherheitsprogramms besteht darin, den Benutzern beizubringen, was Sicherheit für das Unternehmen
bedeutet und wie sich jeder Benutzer auf den Prozess auswirkt
• Machen Sie Sicherheit zu einem Teil des Einstellungsprozesses.
• Holen Sie sich Unterstützung vom oberen Management.
• Bereitstellung maßgeschneiderter Sicherheits- und Richtlinienschulungen:
- Sicherheitsbezogene Berufsausbildung für Bediener
- Sensibilisierungsschulung für bestimmte Abteilungen oder Personalgruppen mit sicherheitsrelevanten
Positionen
- Technische Sicherheitsschulung für IT-Supportpersonal und Systemadministratoren
- Fortbildung für Sicherheitsfachkräfte und Informationssystemprüfer.
- Sicherheitsschulung für leitende Manager, Funktionsmanager und Geschäftseinheitsmanager/andere
Gruppenleiter.
1
4
• Führen Sie Stichprobenkontrollen am sauberen Schreibtisch durch.
• Mit gutem Beispiel vorangehen.
2.14 Planung des Sicherheitsmanagements

Ein Sicherheitsplan soll der Organisation einen Fahrplan für die Sicherheit bieten. Es soll auch für jede Organisation
spezifisch sein. Da sie einzigartig sind, kann der Prozess für jede Organisation unterschiedlich sein, aber im
Allgemeinen sind die Schritte:
• Definieren Sie die Mission und legen Sie Prioritäten fest (S.151)
• Bestimmen Sie die Risiken und Bedrohungen für vorrangige Bereiche (S. 151)
• Erstellen Sie einen Sicherheitsplan zur Abwehr von Bedrohungen (S. 152)
- Sicherheitsrichtlinien entwickeln (S.152)
- Sicherheitsbewertung durchführen (S. 153)
- Sicherheitslösungen identifizieren (S. 153)
- Identifizieren Sie Kosten, Nutzen und Machbarkeit von Lösungen und stellen Sie den Plan fertig (S.153)
- Präsentieren Sie den Plan dem höheren Management, um die Zustimmung des Managements zu gewinnen (S.
153)
2.15 Gemeinsame Entwicklung einer Sicherheitspolitik

Die Phasen des gemeinsamen Entwicklungsprozesses einer Sicherheitsrichtlinie sind:
Initialisierung und Verfassen eines Vorschlags an das Management, in dem die Ziele der Richtlinie
Bewertung
Entwicklung dargelegt werden.
Entwerfen und Verfassen der eigentlichen Richtlinie unter Einbeziehung der
Genehmigung vereinbarten
Der Ziele.
Prozess der Vorlage der Richtlinie bei der Genehmigungsstelle.
Veröffentlichung Veröffentlichung und Verteilung der Richtlinie innerhalb der Organisation.
Implementierung Umsetzung und Durchsetzung der Ziele der Politik.
Wartung Regelmäßige Überprüfung der Richtlinie, um die Aktualität sicherzustellen
(möglicherweise auf geplanter Basis).
1
5
3.0 PRÜFUNG UND ÜBERWACHUNG
Beim Auditing handelt es sich um den Prozess zur Überprüfung , ob ein bestimmtes System, eine bestimmte
Steuerung, ein bestimmter Prozess, ein bestimmter Mechanismus oder eine bestimmte Funktion eine definierte Liste
von Kriterien erfüllt . Bietet Sicherheitsmanagern die Möglichkeit, die Einhaltung einer bestimmten Richtlinie oder
eines bestimmten Standards festzustellen . Wird häufig verwendet, um der Geschäftsleitung Berichte über die
Wirksamkeit von Sicherheitskontrollen bereitzustellen . Bei der Überwachung handelt es sich um den Prozess, bei
dem Informationen gesammelt werden, um Sicherheitsereignisse zu identifizieren und in einem vorab beschriebenen
Format zu melden.
3.1 Kontrolltypen
Richtlinie Wird normalerweise vom Management oder Administratoren festgelegt oder um
sicherzustellen, dass die erforderlichen Aktionen oder Aktivitäten zur Aufrechterhaltung der
Vorbeugend Richtlinien-
Um Personenoder
oderSystemintegrität
Prozesse daran stattfinden.
zu hindern, Aktionen oder Aktivitäten zu initiieren, die
möglicherweise gegen die Richtlinie verstoßen, für die die Kontrolle entwickelt wurde.
Detektiv Um Aktionen oder Aktivitäten aus beliebigen Quellen zu identifizieren, die gegen die
Richtlinie verstoßen, für die die Kontrolle entwickelt wurde. Detektivkontrollen dienen
Korrigierend Um auf eine Situation zu reagieren, in der gegen eine Richtlinie verstoßen wurde. Sie
werden oft als Gegenmaßnahmen bezeichnet und wirken automatisch, um zu verhindern,
dass die bestimmte Aktion/Aktivität, die gegen eine Richtlinie verstößt, schwerwiegender
Erholung Um auf eine Situation zu reagieren, in der gegen eine Richtlinie verstoßen wurde.
Wiederherstellungskontrollen versuchen, das System oder die Prozesse im Zusammenhang
mit der Richtlinienverletzung in ihren ursprünglichen Zustand zurückzusetzen .
3.2 Sicherheitsaudits
Der Auditierungsprozess stellt einen klar definierten Satz von Verfahren und Protokollen bereit, um die Einhaltung
oder Abweichung von geltenden Standards, Vorschriften usw. zu messen.
Prüfungsziele sollten mit Governance gekoppelt werden. Stellt sicher, dass die Prüfungsziele mit den Geschäftszielen
übereinstimmen. Governance berücksichtigt organisatorische Beziehungen und Prozesse, die sich direkt auf das
gesamte Unternehmen auswirken.
Sobald das Ziel eines Audits klar definiert ist, können die zur Zielerreichung erforderlichen Kontrollen geplant
werden – dies wird oft als Kontrollziel bezeichnet.
3.2.1 Internes und externes Sicherheitsaudit

Interne Prüfer sind Mitarbeiter der Organisation, in der die Prüfung durchgeführt wird. Sie untersuchen
die bestehende interne Kontrollstruktur auf die Einhaltung von Richtlinien und helfen dem Management,
Ziele durch einen disziplinierten Ansatz für Governance, Kontrolle und Risikominderung zu erreichen.
Externe Prüfer werden oft als externe Auftragnehmer beauftragt, um spezifische regulatorische
Anforderungen zu erfüllen. Organisationen sollten immer die Referenzen des Dritten prüfen, bevor sie mit
der Prüfung beginnen Eine Offenlegungsvereinbarung sollte (mindestens) unterzeichnet werden.
3.2.2 Prüfungsprozess
Das Verteidigungsministerium (DoD) stellt detaillierte Schritte bereit, die speziell für eine IT-Prüfung
gelten:
1. Planen Sie das Audit - Verstehen Sie den geschäftlichen Kontext des Sicherheitsaudits
- Holen Sie die erforderlichen Genehmigungen von der Geschäftsleitung und den
gesetzlichen Vertretern ein
- Erhalten Sie nach Möglichkeit historische Informationen zu früheren Audits
- Informieren Sie sich über die geltenden Regulierungsgesetze
mit der Umgebung
2. Bestimmen Sie die - Bewerten Sie die aktuelle verbundenen
Sicherheitslage Risikobedingungen
mithilfe eines risikobasierten
vorhandenen Ansatzes
Kontrollen und das - Bewerten Sie die Wirksamkeit bestehender Sicherheitskontrollen
Risikoprofil - Führen Sie eine Risikobewertung zur Erkennung/Kontrolle durch
3. Führen Sie - Bestimmen Sie die Wirksamkeit von Richtlinien und Verfahren
Compliance-Tests - Bestimmen Sie die Wirksamkeit der Aufgabentrennung
4. Führen Sie - Überprüfen Sie , ob sich die Sicherheitskontrollen wie erwartet verhalten. -
substanzielle Tests Testen Sie die Kontrollen in der Praxis
1
6
5. Bestimmen Sie die - Wenn die gefundenen Sicherheitslücken ausgeführt würden, welche konkreten
Wesentlichkeit der ($£) Auswirkungen auf das Unternehmen und welche immateriellen
gefundenen (Reputations-) Auswirkungen hätte das?
6. Präsentieren Sie die - Erstellen Sie den Prüfungsbericht und das Prüfungsurteil
Ergebnisse - Erstellen Sie Empfehlungen
3.2.3 Audit-Datenquellen (S. 192)
Prüfungsquellen sind Orte, an denen Prüfungsdaten zur Bewertung und Analyse gesammelt werden
können. Der Prüfer sollte stets die Objektivität der Informationsquelle berücksichtigen . Prüfquellen können
an verschiedenen Orten gesammelt werden, z. B.:
- Organigramme - Hardware- und Softwareinventuren
- Diagramme der Netzwerktopologie - Informelle Interviews mit Mitarbeitern
- Geschäftsprozess- und Entwicklungsdokumentation – Frühere Auditberichte
3.2.4 Buchungsprotokolle
Prüfpfade sind eine Gruppe von Protokollen oder relevanten Informationen, die den Beweissatz für eine
bestimmte Aktivität bilden. Für jede auf einem Informationssystem durchgeführte Aktion sollte ein
relevanter Protokolleintrag vorhanden sein, der Informationen über den Namen des Systems, die Benutzer-
ID des Benutzers, die durchgeführte Aktion und das Ergebnis der Aktion enthält.
Einer der schwierigsten Aspekte bei der Erstellung eines Prüfpfads ist die Gewährleistung der Integrität
des Prüfpfads .
Die Integrität des Prüfpfads ist für die Ereignisrekonstruktion eines Sicherheitsvorfalls von entscheidender
Bedeutung. Es ist wichtig, den Prüfpfad vor unbefugtem Zugriff und Protokollmanipulation zu schützen.
Die Verwendung einer Central Logging Facility (CLF) zur Verwaltung unterschiedlicher Systemprotokolle
wird empfohlen . Auch Backups von Audit-Logs sollten in Betracht gezogen werden.
Audit-Log-Überprüfungen werden durchgeführt, um den Detaillierungsgrad zu überprüfen, der abgedeckt

werden sollte, damit allgemeine Rückschlüsse auf die Host-Aktivität gezogen werden können und
detailliert genug sind, um ein bestimmtes Ereignis weiter zu untersuchen.
Audit-Trails bieten eine Methode zur Nachverfolgung oder Protokollierung, mit der sicherheitsrelevante
Aktivitäten nachverfolgt werden können. Zu den nützlichen Prüfpfaden gehören:
- Passwortänderungen - Kontoerstellung und -löschung
- Privilegierte Nutzung - Ressourcenzugriff
- Eskalation von Berechtigungen - Authentifizierungsfehler
Systemereignisse stellen Auslöser bereit, die im Audit-Trail erfasst und zur Darstellung eines
Aktivitätsmusters verwendet werden. Im Folgenden finden Sie Beispiele für verfolgte Ereignisse:
- Starten und Herunterfahren - Administrator-/Betreiberaktionen
- Anmelden und abmelden - Verweigerung des Ressourcenzugriffs
- Objekt erstellen, löschen und ändern - Genehmigungen für den
Ressourcenzugriff
Die Stichprobenziehung und Datenextraktion erfolgt, wenn keine Originaldaten verfügbar sind . In
diesem Fall müsste der Administrator Erhebungstechniken wie Interviews oder Fragebögen verwenden, um
die Daten aus einer Gruppe von Befragten zu extrahieren. Mithilfe der Datenerfassung können sie
spezifische Informationen extrahieren. Dies wird am häufigsten zur Erkennung anomaler Aktivität
verwendet.
Aufbewahrungsfristen geben an, wie lange Medien aufbewahrt werden müssen, um behördlichen
Auflagen zu entsprechen. Die entscheidende Frage lautet: „Wie lange ist lang genug?“ Hängt weitgehend
von regulatorischen/Compliance-Fragen ab.
3.2.5 Methoden zur Sicherheitsüberprüfung

Die Auditierungsmethoden sollten gut dokumentiert und bei Bedarf nachweislich rekonstruierbar sein. Die
Häufigkeit der Überprüfung hängt von der Art und Bedeutung der Prüfung ab. Der Sicherheitsauditbericht
sollte bei Bedarf alle Ergebnisse und Empfehlungen hervorheben. Im Folgenden sind zwei Arten von
Methoden aufgeführt, die üblicherweise für Sicherheitsüberprüfungen verwendet werden.
• Penetrationstests (S. 201): Klassifiziert als proaktives Sicherheitsaudit, bei dem Sicherheitskontrollen
mithilfe einer Simulation von Aktionen getestet werden, die von echten Angreifern ausgeführt werden
können.
1
7
Bei der Vorbereitung eines Penetrationstests muss eine Liste der stattfindenden Angriffe erstellt bzw.
kartiert werden. Diese Angriffsliste kann mit einer Audit-Checkliste verglichen werden. Ein
verantwortungsvoller Penetrationstest erfordert eine sorgfältige Koordination und Planung, um die
Wahrscheinlichkeit negativer Auswirkungen auf ein Unternehmen zu minimieren.
Ein Penetrationstest ist der autorisierte, geplante und systematische Prozess , bei dem bekannte
Schwachstellen genutzt und ausgenutzt werden, um einen Eingriff in Host-, Netzwerk-, physische oder
Anwendungsressourcen durchzuführen.
Der Penetrationstest kann auf internen (Gebäudezugangs- oder Intranet-Host-Sicherheitssystem) oder

externen (Unternehmensverbindung zum Internet) Ressourcen durchgeführt werden. Normalerweise
besteht es darin, die Ressourcen einer Organisation automatisiert und manuell zu testen. Der Prozess
umfasst.
- Host-Identifizierung – dh Identifizierung offener Ports und laufender Dienste .

- Fingerabdruck des Betriebssystems und der laufenden Anwendungen – d. h. Identifizierung der
Betriebssystemversion und der laufenden Anwendungen (TCP/IP-Fingerprinting-Techniken,
Bannergrabbing usw.)
- Erstellen einer Schwachstellenmatrix für den Host entsprechend dem Betriebssystem und der
Anwendung unter Verwendung gängiger Quellen wie SecurityFocus, CERT usw. zur
Zusammenstellung bekannter Schwachstellen.
- Schwachstellenanalyse mit automatisierten Tools (wie ISS, Nessus usw.) und manuellen
Techniken.
- Melden Sie die Schwachstelle und bereiten Sie die Roadmap für die Zukunft vor.
Checkliste Audit (S.198): Standard-Auditfragen werden als Vorlage aufbereitet und für eine Vielzahl
von Organisationen (z. B. SPRINT) verwendet.
Wenn sich ein Prüfer zu sehr auf die Checkliste verlässt und keine eigene Überprüfung der
zugehörigen Details auf der Grundlage spezifischer Beobachtungen in der Umgebung durchführt,
könnte eine schwerwiegende Sicherheitslücke unbemerkt bleiben. Das Gleiche gilt für Softwaretools,
die den Prüfprozess automatisieren und/oder auf Sicherheitslücken prüfen (siehe CAATs unten).
Andere Arten von Sicherheitsüberprüfungsmethoden sind War-Dialing (um zu sehen, ob offene

Modems vorhanden sind), Dumpster Diving (um die Wirksamkeit der sicheren Entsorgung
vertraulicher Informationen zu testen), Social Engineering (um das Sicherheitsverhalten von
Mitarbeitern zu testen) und War-Driving (Suche nach ungesicherten WLAN-Zugangspunkten)
3.2.6 Computergestütztes Audit-Tool (CAAT)

Ein CAAT ist jede Software oder Hardware, die zur Durchführung von Prüfprozessen verwendet wird.
CAATs können dabei helfen, Fehler zu finden, Betrug aufzudecken, Bereiche zu identifizieren, in denen
Prozesse verbessert werden können, und Daten zu analysieren, um Abweichungen von der Norm zu
erkennen.
Der Vorteil des Einsatzes von CAATs liegt in der Automatisierung manueller Aufgaben zur Datenanalyse.
Die Gefahr ihrer Verwendung besteht darin, dass man sich auf Werkzeuge verlässt, die die menschliche
Beobachtung und Intuition ersetzen . Prüfer sollten CAATs verwenden, um Daten auf unterschiedliche
Weise umfassend zu testen, die Datenintegrität zu testen, Trends, Anomalien und Ausnahmen zu
identifizieren und kreative Ansätze für Prüfungen zu fördern und dabei diese Tools zu nutzen.
Einige Beispiele für (Mainframe-basierte) CAATs sind: EZTrieve, CA-PanAudit, FocAudit und SAS. PCs
können auch für Tabellenkalkulations-/Datenbankprogramme zur Prüfung verwendet werden, oder ein
GAS-Tool (Generalize Audit Software) kann zur Durchführung dieser Prüfungsfunktionen verwendet
werden – z. B. Integrated Development Environment Applicatin (IDEA).
3.2.7 Zentrale Protokollierungsanlage (CLF)

Ein CLF trägt dazu bei, dass Prüf- und Systemprotokolle an einen sicheren, vertrauenswürdigen Ort
gesendet werden, der von den überwachten Geräten getrennt und nicht zugänglich ist.
Ein CLF kann unterschiedliche Daten aus mehreren Systemen sammeln und integrieren und durch
Datenkorrelation dabei helfen, ein Angriffsmuster zu bestimmen. Es kann auch Diskrepanzen zwischen
Remote-Protokollen und Protokollen aufdecken, die auf einem geschützten Server gespeichert sind – auf
diese Weise kann es Protokollmanipulationen erkennen.
1
8
3.3 Berichts- und Überwachungsmechanismus
Die Überwachung kann je nach Bedarf und Wichtigkeit in Echtzeit, Ad-hoc oder passiv erfolgen. Um die
Systemsicherheit auf dem neuesten Stand zu halten, müssen Sicherheitsadministratoren das System ständig
überwachen und auf mögliche Angriffe achten. Die Überwachung kann automatisch oder manuell erfolgen, in beiden
Fällen sollten jedoch gute Richtlinien und Verfahren zur ständigen Überwachung vorhanden sein.
Warnbanner warnen die Benutzer von Systemen vor der Einhaltung akzeptabler Nutzungsrichtlinien und ihrer
gesetzlichen Haftung. Dies wird den Prozess der rechtlichen Anforderungen bei der Verfolgung böswilliger Benutzer
ergänzen. Darüber hinaus warnen die Banner alle Benutzer, dass alles, was sie auf den Systemen tun, einer
Überwachung unterliegt.
Bei der Tastenanschlagüberwachung handelt es sich um einen Prozess, bei dem Computersystemadministratoren
sowohl die von einem Computerbenutzer eingegebenen Tastenanschläge als auch die Reaktion des Computers
während einer Benutzer-zu-Computer-Sitzung anzeigen oder aufzeichnen.
Durch die Verkehrsanalyse können über das Kabel erfasste Daten in einem für Menschen lesbaren Format
gemeldet werden, damit Maßnahmen ergriffen werden können.
Die Trendanalyse stützt sich auf Rückschlüsse, die im Laufe der Zeit aus historischen Daten (hauptsächlich
Verkehr) gezogen werden. Kann zeigen, wie eine Organisation im Laufe der Zeit die Einhaltung von Richtlinien
(oder was auch immer geprüft wird) verbessert oder verringert.
Die Ereignisüberwachung stellt Warnungen oder Benachrichtigungen bereit, wenn ein Verstoß gegen die Richtlinie
festgestellt wird. Normalerweise fallen einem IDSs ein, aber auch Firewall-Protokolle, Server-/App-Protokolle und
viele andere Quellen können auf Ereignisauslöser überwacht werden. Closed Circuit Television (CCTV) überwacht
die körperliche Aktivität von Personen
Die Hardwareüberwachung dient der Fehlererkennung und die Softwareüberwachung der Erkennung illegaler
Softwareinstallationen.
Alarme und Signale funktionieren mit IDS. Durch einen Alarm kann ein Administrator auf das Eintreten eines
bestimmten Ereignisses aufmerksam gemacht werden. Dies kann dem Administrator die Möglichkeit geben, einen
Angriff abzuwehren oder etwas zu beheben, bevor sich die Situation verschlimmert. Diese Benachrichtigungen
können Paging, das Anrufen einer Telefonnummer und das Übermitteln einer Nachricht oder die Benachrichtigung
des zentralen Überwachungspersonals umfassen
Verstoßberichte werden häufig bei der Überwachung eines Zugangskontrollsystems verwendet. Diese Art von
Bericht zeigt grundsätzlich alle unbefugten Zugriffsversuche an. Dies könnte einfach eine Liste der gemeldeten
fehlgeschlagenen Anmeldeversuche sein. Siehe auch Clipping-Ebenen S. 17
Honeypots werden von den Organisationen bewusst betrieben, um das Verhalten der Angreifer zu untersuchen und
die Aufmerksamkeit von anderen potenziellen Zielen abzulenken.
Missbrauchsdetektoren analysieren die Systemaktivität und suchen nach Ereignissen oder Ereignisgruppen,
die einem vordefinierten Ereignismuster entsprechen, das einen bekannten Angriff beschreibt. Wird manchmal
auch als „signaturbasierte Erkennung“ bezeichnet. Die in kommerziellen Produkten am häufigsten verwendete
Form der Missbrauchserkennung spezifiziert jedes Muster von Ereignissen, die einem Angriff entsprechen, als
separate Signatur
Intrusion Detection Systems (IDS) geben eine Warnung aus, wenn eine Anomalie auftritt, die nicht mit einer
vordefinierten Grundlinie übereinstimmt, oder wenn die Netzwerkaktivität einem bestimmten Muster entspricht, das
als Angriff erkannt werden kann. Es gibt zwei Hauptarten der Einbruchserkennung:
- Netzwerkbasiertes IDS (NIDS), das den gesamten Netzwerkverkehr abhört und über die Ergebnisse berichtet.
- Hostbasiertes IDS (HIDS), das auf einem bestimmten System ausgeführt wird und nur über Elemente berichtet, die
dieses System betreffen. Einbruchmeldesysteme nutzen zwei Ansätze:
Signaturbasierte Identifizierung von Anomalien

Identifizierung (auch bekannt (auch bekannt als statistische Anomalie oder verhaltensbasiert)
- Erkennen Sie bekannte Angriffe - Sucht nach Angriffen, die durch abnormales Verhalten angezeigt werden.
- Mustervergleich - Hierbei wird davon ausgegangen, dass alle aufdringlichen Ereignisse als
- Ähnlich wie beim Virenscan Anomalien betrachtet werden.
- Zunächst muss ein Profil dessen erstellt werden, was als „normale“ Aktivität
3.4 Angriffsarten
Wörterbuchangriff: Bei einem Wörterbuchangriff wird eine flache Textdatei verwendet, die Wörterbuchwörter
(manchmal in mehreren Sprachen) und viele andere gebräuchliche Wörter enthält. Sie werden systematisch mit dem
Passwort des Benutzers versucht.
Brute-Force-Angriff: Bei dieser Art von Angriff wird systematisch jede erdenkliche Kombination aus Buchstaben,
1
9
Zahlen und Symbolen gegen das Passwort ausprobiert, bis es entschlüsselt wird. Es kann unglaublich lange dauern,
da verschiedene Permutationen und Kombinationen ausprobiert werden müssen.
Denial of Service (DoS): Eine Situation, in der ein Umstand, entweder absichtlich oder versehentlich, verhindert,
dass das System wie vorgesehen funktioniert, oder berechtigte Benutzer daran hindert, diesen Dienst zu nutzen. In
bestimmten Fällen funktioniert das System möglicherweise genau wie vorgesehen, es war jedoch nie dafür gedacht,
die Belastung, den Umfang oder die ihm auferlegten Parameter zu bewältigen. Ein Denial-of-Service-Angriff ist
durch den expliziten Versuch eines Angreifers gekennzeichnet, legitime Benutzer eines Dienstes an der Nutzung
dieses Dienstes zu hindern. Beispiele beinhalten:
- Versucht, ein Netzwerk zu „überfluten“ und dadurch legitimen Netzwerkverkehr zu verhindern.
- Versucht, Verbindungen zwischen zwei Maschinen zu unterbrechen und dadurch den Zugriff auf einen Dienst zu
verhindern.
- Versucht, den Zugriff einer bestimmten Person auf einen Dienst zu verhindern.
- Versuche, den Dienst für ein bestimmtes System oder eine bestimmte Person zu unterbrechen.
Distributed Denial of Service (DDoS): Ähnlich einem DoS-Angriff, aber der Angreifer nutzt andere Systeme, um
den Denial-of-Service-Angriff zu starten. Auf dem „Slave“-System könnte ein Trojanisches Pferd platziert werden,
das es dem Angreifer ermöglicht, den Angriff von diesem System aus zu starten.
Spoofing: Spoofing ist eine Form des Angriffs, bei der der Eindringling vorgibt, ein anderes System zu sein und
versucht, Daten und Kommunikation bereitzustellen/zu erhalten, die für das ursprüngliche System bestimmt waren.
Dies kann auf verschiedene Arten erfolgen, einschließlich IP-Spoofing, Session-Hijacking und Address Resolution
Protocol (ARP)-Spoofing.
Man-in-the-Middle-Angriffe: Sie werden durchgeführt, indem das System eines Eindringlings effektiv in die Mitte
des Kommunikationspfads zwischen zwei anderen Systemen im Netzwerk eingefügt wird. Auf diese Weise kann ein
Angreifer beide Seiten der Konversation zwischen den Systemen sehen und Daten direkt aus dem
Kommunikationsstrom abrufen. Darüber hinaus kann der Eindringling Daten in den Kommunikationsstrom einfügen,
was es ihm ermöglichen könnte, umfangreichere Angriffe durchzuführen oder mehr nicht autorisierte Daten vom
Hostsystem zu erhalten.
Spamming-Angriffe: Spam oder das Versenden unerwünschter E-Mail-Nachrichten werden in der Regel eher als
Ärgernis denn als Angriff angesehen, es kann aber auch beides sein. Es verlangsamt das System und macht es nicht
mehr in der Lage, legitime Nachrichten zu verarbeiten. Darüber hinaus verfügen Mailserver über eine begrenzte
Speicherkapazität, die durch das Senden einer großen Anzahl von Nachrichten an den Server überfüllt werden kann,
was effektiv zu einem DoS-Angriff auf den Mailserver führen kann.
Sniffing: Der Prozess des Abhörens/Erfassens des über das Netzwerk fließenden Datenverkehrs entweder mithilfe
eines dedizierten Geräts oder eines Systems, das mit spezieller Software und einer Netzwerkkarte im Promiscuous-
Modus konfiguriert ist. Ein Sniffer sitzt grundsätzlich im Netzwerk und lauscht auf den gesamten Datenverkehr, der
über das Netzwerk fließt. Die mit dem Sniffer verbundene Software ist dann in der Lage, den erfassten Datenverkehr
zu filtern, sodass der Eindringling Passwörter und andere im Klartext über das Netzwerk gesendete Daten finden
kann. Sniffer erfüllen in der Informationstechnologie eine wichtige Funktion, da sie es Netzwerkanalysten
ermöglichen, Netzwerkprobleme zu beheben. In den Händen von Eindringlingen können sie jedoch auch sehr
mächtige Waffen sein.
3.4 STURM
TEMPEST ist der Codename der US-Regierung für eine Reihe von Standards zur Begrenzung elektrischer oder
elektromagnetischer Strahlungsemissionen von elektronischen Geräten wie Mikrochips, Monitoren oder Druckern.
Dadurch wird sichergestellt, dass Geräte nicht anfällig für Angriffe wie Van Eck Phreaking sind.
3.5 Clipping-Level
Die Verwendung von Begrenzungsstufen bezieht sich auf das Festlegen zulässiger Schwellenwerte für eine
gemeldete Aktivität . Beschneidungsstufen legen einen Grundwert für normale Benutzerfehler fest, und nur Verstöße,
die diesen Schwellenwert überschreiten, werden aufgezeichnet, um zu analysieren , warum die Verstöße aufgetreten
sind.
Beispielsweise kann für die Meldung fehlgeschlagener Anmeldeversuche an einem Arbeitsplatzrechner eine
Beschneidungsstufe von drei festgelegt werden. Daher werden drei oder weniger Anmeldeversuche einer Person an
einem Arbeitsplatz nicht als Verstoß gemeldet (wodurch die Überprüfung normaler Anmeldeeintragsfehler entfällt).
2
0
4.0 RISIKO, ANTWORT UND WIEDERHERSTELLUNG
Risikomanagement Identifizierung, Messung und Kontrolle des Risikos.
Risikobewertung Prozess der Bestimmung des Verhältnisses von Bedrohungen zu Schwachstellen und den
vorhandenen Kontrollen sowie der daraus resultierenden Auswirkungen (objektiver Prozess).
Risikoanalyse Mithilfe eines Risikoanalyseverfahrens wird das Gesamtrisiko ermittelt (subjektives
Verfahren). Die negativen Auswirkungen können ein Verlust der Integrität, Verfügbarkeit
oder Vertraulichkeit sein. Die RA sollte Kontrollen empfehlen, um das Risiko zu mindern
(dh Gegenmaßnahmen).
4.1 Risikomanagement (Risiken, Bedrohungen, Schwachstellen und Gefährdungen)
Risikomanagement ist der zyklische Prozess der Identifizierung, Messung und Kontrolle von Verlusten im Zusammenhang
mit unerwünschten Ereignissen. Beinhaltet Risikoanalyse, Auswahl/Bewertung von Schutzmaßnahmen, Kosten-Nutzen-
Analyse, Umsetzung von Schutzmaßnahmen/Gegenmaßnahmen usw. Besteht aus mehreren Schritten (S. 231 SSCP):
Identifikation Jedes potenziell schädliche Risiko wird identifiziert.
Bewertung Die Folgen einer potenziellen Bedrohung werden ermittelt und die Wahrscheinlichkeit und
Häufigkeit des Eintretens eines Risikos analysiert.
Planung Die gesammelten Daten werden in ein aussagekräftiges Format gebracht, das zur Entwicklung von
Strategien zur Verringerung oder Beseitigung der Auswirkungen eines Risikos verwendet wird.
Überwachung Risiken werden zyklisch verfolgt und Strategien bewertet – das heißt, auch wenn ein Risiko
behandelt wurde, kann es nicht vergessen werden.
Kontrolle Es werden Schritte unternommen, um Pläne zu korrigieren, die nicht zur Verbesserung des
Risikomanagements beitragen
Sicherheitslücke: Schwachstelle in einem Informationssystem, die von einem Bedrohungsagenten ausgenutzt werden
könnte (z. B. Softwarefehler). Bedrohung: Jede potenzielle Gefahr , die einem Informationssystem schaden kann –
zufällig oder vorsätzlich (z. B. Hacker). Risiko: Ist die Wahrscheinlichkeit , dass ein Bedrohungsagent eine Schwachstelle
ausnutzt .
Risiko = Bedrohung x Schwachstelle
Gefährdung: Ein Fall, in dem Sie Verlusten durch einen Bedrohungsagenten ausgesetzt sind.
Vermögenswerte: Die mit dem System verbundenen Geschäftsressourcen (materiell und immateriell). Dazu gehören:
Hardware, Software, Personal, Dokumentation und Informationskommunikation usw. Der teilweise oder vollständige
Verlust von Vermögenswerten könnte die Vertraulichkeit, Integrität oder Verfügbarkeit der Systeminformationen
beeinträchtigen.
Kontrollen: Werden eingerichtet, um Risiken zu reduzieren, zu mindern oder zu übertragen. Diese können physischer,
administrativer oder technischer Natur sein (siehe S. 4). Sie können auch abschreckend, präventiv, korrigierend oder
detektivisch wirken (siehe S. 14).
Schutzmaßnahmen: Kontrollen, die einen gewissen Schutz für Vermögenswerte bieten.
Gegenmaßnahmen: Kontrollen, die als Ergebnis einer Risikoanalyse eingeführt werden, um die Anfälligkeit zu
verringern.
Risikominderung: Der Prozess der Auswahl und Implementierung von Kontrollen, um das Risiko auf ein akzeptables
Maß zu reduzieren
Hinweis: Risiken können reduziert , akzeptiert , gemanagt , gemindert , übertragen werden oder es kann davon
ausgegangen werden, dass sie einer zusätzlichen Analyse bedürfen.
4.2 Risikoanalyse
Um Risiken zu identifizieren und zu analysieren, müssen wir eine Risikoanalyse durchführen. Zwei allgemeine Methoden
zur Risikoanalyse.
4.2.1 Quantitative Risikoanalyse : Die Ergebnisse zeigen die Menge in Bezug auf den Wert (Geld). Es
werden die tatsächlichen Zahlen in Bezug auf die Kosten für Gegenmaßnahmen und die Höhe des Schadens
angegeben, der entstehen kann. Der Prozess ist mathematisch und wird als Risikomodellierung bezeichnet,
basierend auf Wahrscheinlichkeitsmodellen.
AV = Vermögenswert ($ € )
EF (Exposure Factor) [Max 100 %] = Prozentsatz des Vermögensverlusts, der durch mutmaßlich erfolgreiche
Angriffe verursacht wird. SLE (Single Loss Expectancy) [sind die Kosten] = Vermögenswert x Risikofaktor
ARO (Annualized Rate of Occurrence) = Geschätzte Häufigkeit, mit der eine Bedrohung innerhalb eines
Jahres auftritt = Wahrscheinlichkeit, dass ein Ereignis eintritt x die Häufigkeit, mit der es in einem einzelnen
Jahr auftreten könnte .
ALE (Annualisierte Verlusterwartung) = SLE x ARO
ROI (Return on Investment) = ALE / Annualisierte Kosten für Gegenmaßnahmen ($) [Im Allgemeinen
sollten Gegenmaßnahmen ergriffen werden, wenn der ROI größer als 1,0 ist.]
Kosten-/Nutzenanalyse = Vergleicht die Kosten einer Kontrolle mit den Vorteilen [ALE (vorher) – ALE
2
1
(nachher) – Jährliche Kosten = Wert des Schutzes] (Beispiele finden Sie auf Seite 267 des SSCP)
4.2.2 Qualitative Risikoanalyse: Gehen Sie verschiedene Risikoszenarien durch und bewerten Sie die
Schwere der Bedrohungen und die Sensibilität der Vermögenswerte. Dies liefert subjektivere Ergebnisse auf
höherem Niveau als die quantitative Risikoanalyse.
Hinweis: Quantitativ dauert länger und ist komplexer.

4.3 Risikoanalyse-/Bewertungstools und -techniken
DELPHI Bei Delphi-Techniken bewertet und bewertet eine Gruppe von Experten unabhängig voneinander
das Geschäftsrisiko für einen Geschäftsprozess oder eine Organisation und führt die Ergebnisse zu
einem Konsens zusammen. Jeder Experte in der Delphi-Gruppe misst und priorisiert das Risiko für
KOBRA „Beratende, objektive und bifunktionale Risikoanalyse“. Es handelt sich um ein Fragebogen-PC-
System, das „Experten“-Systemprinzipien und eine umfangreiche Wissensbasis nutzt. Es bewertet
die relative Bedeutung aller Bedrohungen und Schwachstellen.
OKTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) ist eine
risikobasierte strategische Bewertungs- und Planungstechnik für die Sicherheit.
NIST- Schritt 1: Systemcharakterisierung Schritt 5: Wahrscheinlichkeitsbestimmung
Risikobewertu Schritt 2. Bedrohungsidentifizierung Schritt 6: Wirkungsanalyse
ngsmethodik Schritt 3. Identifizierung der Schwachstelle Schritt 7. Risikobestimmung
(SP800-30) Schritt 4: Kontrollanalyse Schritt 8. Kontrollempfehlungen
Schritt 9.Ergebnisdokumentation
4.4 Wiederherstellung nach einer Katastrophe
Die Notfall-/Geschäftswiederherstellungsplanung ist ein wichtiger Bestandteil des
Geschäftskontinuitätsplanungsprozesses.
4.4.1 Geschäftskontinuitätsplanung (BCP) (S.268 SSCP)
BCP ist der Prozess der proaktiven Entwicklung, Dokumentation und Integration von Prozessen und Verfahren,
die es einer Organisation ermöglichen, auf eine Katastrophe so zu reagieren, dass kritische Geschäftsfunktionen
mit minimalen oder unbedeutenden Änderungen weitergeführt werden, bis die normalen Einrichtungen
wiederhergestellt sind. BCP umfasst den vollständigen Wiederherstellungsprozess aller Geschäftsabläufe .
Da sich BCP auf die Wiederherstellung der normalen Geschäftsfunktionen des gesamten Unternehmens
konzentriert, ist es wichtig, dass kritische Geschäftsfunktionen identifiziert werden. Es liegt in der
Verantwortung jeder Abteilung, diejenigen Anforderungen zu definieren, die für die Fortführung ihres Betriebs
wesentlich sind . Daher ist es wichtig, die Anforderungen für jede Abteilung im Rahmen des Business-
Continuity-Plans zu bewerten und zu dokumentieren. Dies erfolgt typischerweise durch eine Business-Impact-
Analyse (BIA).
Hinweis: Eine BIA wird normalerweise unmittelbar vor der BCP durchgeführt.
4.4.2 Disaster Recovery Planning (DRP) (S.271 SSCP)
Notfallwiederherstellungspläne sollten die getroffenen Vorsichtsmaßnahmen dokumentieren, damit die
Auswirkungen einer Katastrophe minimiert werden, und die Maßnahmen, die ergriffen werden müssen, damit
die Organisation geschäftskritische Systeme entweder warten oder schnell wieder aufnehmen kann. 1)
Notfallreaktion 2) Backup 3) Wiederherstellung
BCP befasst sich mit der Wiederherstellung wichtiger Geschäftsfunktionen , während sich ein DRP auf die
Wiederherstellung von Informationssystemen konzentriert.
4.4.3 Backups (S. 277 SSCP)
Vollständige Sichert alle Daten in einem einzigen Sicherungsauftrag. Ändert das Archivbit.
Sicherung
Inkrementell Sichert alle Daten seit der letzten Sicherung (dh neue und geänderte). Ändert das
Differential Sichert alle Daten, die seit der letzten Vollsicherung geändert wurden. Ändert das
Archivbit
Backup kopieren Erstellt nicht.
eine vollständige Sicherung, ändert jedoch nicht das Archivbit
Ein typischer Bandrotationsplan ist Großvater (monatliches Voll-Backup) – Vater (wöchentlich) – Sohn
(täglich). Es ist auch wichtig, dass ein Backup nur so gut ist wie seine Wiederherstellbarkeit –
Testwiederherstellungen von Daten sollten regelmäßig durchgeführt werden.
4.4.4 Business-Impact-Analyse (BIA)
Ist ein Prozess, der Geschäftsbereichen hilft, die Auswirkungen eines störenden Ereignisses zu verstehen. Die
Auswirkungen können finanzieller (quantitativ – Wertverlust des Lagerbestands) oder operativer (qualitativer –
keine Reaktion auf Kundenanfragen) sein. Eine BIA identifiziert die überlebenskritischen Systeme des
Unternehmens und schätzt die tolerierbare Ausfallzeit. Der erste Schritt einer BIA besteht darin, alle
2
2
Geschäftsbereiche innerhalb der Organisation zu identifizieren (anschließend befragen Sie jeden, um seine
Kritikalität zu bestimmen).
4.4.5 Testen von Notfallwiederherstellungsplänen: Es gibt verschiedene Methoden zum Testen des
DRP:
•verteilt.
Checklistentest: Kopien des Plans werden zur Überprüfung an das Management/den Teilnehmer
•um denStrukturierter Walkthrough-Test: Das Management der Geschäftseinheit trifft sich in einem Raum,
Plan zu besprechen.
• Simulationstest: Alle Supportmitarbeiter treffen sich zu einer Übungssitzung.
•Staging)
Paralleler Test: Vollständiger Live-Test ohne Herunterfahren des Betriebssystems (z. B. beim
•Prozessen.
Vollunterbrechungstest: Normale Produktionsunterbrechung mit echten Disaster-Recovery-
4.4.6 Wiederherstellung und Wiederherstellung

Heiße Seite Die am besten vorbereitete (und teuerste) Einrichtung verfügt über die erforderliche Hardware,
Software, Telefonleitungen, Netzwerkverbindungen usw., damit ein Unternehmen seine
Geschäftstätigkeit fast sofort wieder aufnehmen kann.
Warme Seite Nicht so gut ausgestattet wie ein Hot-Standort, verfügt aber über einen Teil der notwendigen
Hardware, Software, Netzwerk usw., die zur schnellen Wiederherstellung der
Kalte Seite Günstiger, bereit für den Einsatz von Ausrüstung im Notfall, aber keine Hardware vor Ort,
dafür aber Wechselstrom, elektrische Verkabelung usw. Funktioniert möglicherweise nicht,
Gegenseitige Hierbei handelt es sich um eine Vereinbarung mit einem anderen Unternehmen, sodass im
Seite Notfall einer dem anderen entgegenkommt – nicht ideal für große Unternehmen. Ist die
günstigste Variante. Hauptanliegen ist die Kompatibilität der Geräte .
Bei der Auswahl geeigneter Standorte für alternative Standorte ist es wichtig, dass diese an unterschiedlichen
geografischen Standorten liegen, die nicht von derselben Katastrophe betroffen sein können. Dies sollte mit der
Notwendigkeit in Einklang gebracht werden, dass der alternative Standort nicht so weit entfernt sein darf, dass er
die Ausfallzeit erheblich verlängert.
Bei der Verlagerung von Geschäftsfunktionen an einen anderen Standort sollten die kritischsten zuerst
verschoben werden. Wenn Geschäftsfunktionen zurück an den primären Standort verschoben werden, sollten die
am wenigsten kritischen Funktionen zuerst verschoben werden.
4.5 Reaktion auf einen Vorfall (S. 282 SSCP)
Vorfall: Verstoß gegen eine explizite oder stillschweigende Sicherheitsrichtlinie. ZB Versuche, unbefugten Zugriff auf
das System/die Daten zu erlangen, unbefugte Nutzung des Systems zur Verarbeitung/Speicherung von Daten, unbefugte
Änderungen an der Systemhardware/-software.
Reaktion auf Vorfälle: Aktivitäten, die durchgeführt werden, wenn ein sicherheitsrelevanter Vorfall auftritt, der
möglicherweise nachteilige Auswirkungen auf das System oder die Organisation hat. Das Ziel der Reaktion auf Vorfälle
und der anschließenden Untersuchung ist wie folgt: - Kontrollieren und verwalten Sie den Vorfall (dh stellen Sie
sicher, dass alle relevanten Protokolle/Beweise aufbewahrt werden).
- Rechtzeitige Untersuchung und Beurteilung der Schwere des Vorfalls (z. B. Erstellung einer Liste der
Verdächtigen,
nachvollziehen, wie sich der Eindringling Zutritt verschafft hat, den verursachten Schaden dokumentieren usw.
- Rechtzeitige Wiederherstellung oder Umgehung des Vorfalls, um den normalen Betriebszustand
wiederherzustellen (d. h. das beschädigte System in den Originalzustand zurückversetzen und gleichzeitig seine
Sicherheit gewährleisten).
- Rechtzeitige Benachrichtigung des Vorfalls an die leitende Verwaltung/das Management (d. h. Mitteilung der
Ergebnisse der Untersuchung, insbesondere wenn es rechtliche Auswirkungen gibt)
- Verhinderung ähnlicher Vorfälle (d. h. Anwendung von Sicherheitsmaßnahmen, um sicherzustellen, dass der
Verstoß nicht erneut auftreten kann).
Im Allgemeinen sollten bei der Untersuchung eines Vorfalls die folgenden Schritte durchgeführt werden:
- Kontaktieren Sie die Geschäftsleitung und das Incident Response Team.
- Schalten Sie das System NICHT aus, starten Sie es NICHT neu und öffnen Sie keine Dateien (d. h. ändern Sie in
keiner Weise den Systemstatus).
- Trennen Sie das System vom Netzwerk.
- Dokumentieren Sie alle laufenden Prozesse und alle geöffneten Dateien/Fehlermeldungen usw.
- Speichern Sie den Inhalt von Speicher-/Seitendateien und etwaigen System- oder Anwendungsprotokollen.
- Erstellen Sie nach Möglichkeit ein Byte-für-Byte-Image der physischen Festplatte (idealerweise auf einem
einmal beschreibbaren Medium, z. B. einer CD).
Da alle gesammelten Beweise in einem möglichen Strafverfahren verwendet werden können, ist eine sorgfältige
Dokumentation erforderlich. Insbesondere muss für alle erlangten Beweismittel eine Beweiskette eingerichtet werden.
2
3
Eine Beweissicherungskette gibt Aufschluss darüber, wo sich ein Beweisstück zu einem bestimmten Zeitpunkt befand und
wer dafür verantwortlich war. Dies trägt dazu bei, die Integrität der Beweise sicherzustellen.
Bester Beweis : Original- oder Primärbeweis statt Kopie oder Duplikat.
Sekundär : Eine Kopie des Beweismittels oder eine mündliche Beschreibung seines Inhalts.
Direkt : Beweist/widerlegt eine bestimmte Handlung durch mündliche Aussage auf der Grundlage der
gesammelten Informationen
Die fünf Sinne des Zeugen.
Echt : Materielle Gegenstände/physische Beweise.
Fazit : Unbestreitbar – hat Vorrang vor allen anderen Beweisen.
Meinungen : Zwei verschiedene Typen: Experte – kann eine Meinung abgeben, die auf persönlichem Fachwissen
oder Fakten basiert.
Nichtexperte – darf nur über Tatsachen aussagen.
Indizien : Schlussfolgerung von Informationen aus anderen, intermediären, relevanten Fakten.
Dokumentarfilm : Gedruckte Geschäftsunterlagen, Handbücher, Ausdrucke.
Demonstrativ : Wird zur Unterstützung einer Jury verwendet (Diagramme, Illustrationen usw.).
Bestätigend : Unterstützende Beweise, die dazu dienen, eine Idee oder einen Standpunkt zu beweisen. Es kann nicht allein
stehen, sondern wird als ergänzendes Hilfsmittel zum Nachweis eines Hauptbeweises verwendet.
Hörensagen : Auch als Beweismittel aus zweiter Hand bekannt. Beweise, die nicht auf persönlichen Erkenntnissen aus
erster Hand basieren
Die Kenntnis des Zeugen stammte jedoch aus einer anderen Quelle. In der Regel nicht vor Gericht
zulässig (Hörensagenregel), es gibt jedoch Ausnahmen. Computergestützte Beweise gelten als
Hörensagen, sind jedoch zulässig, sofern sie relevant sind .
5.0 KRYPTOGRAPHIE
Kryptographie: Wissenschaft des geheimen Schreibens, die es Ihnen ermöglicht, Daten in einer Form zu speichern und
zu übertragen, die nur den vorgesehenen Personen zugänglich ist.
Kryptosystem: Hardware- oder Softwareimplementierung der Kryptographie, die eine Nachricht in Chiffretext und
zurück in Klartext umwandelt.
Kryptoanalyse/Kryptanalyse: Wiederherstellung von Klartext aus Chiffretext ohne Schlüssel oder Aufbrechen der
Verschlüsselung.
Kryptologie: Das Studium sowohl der Kryptographie als auch der Kryptoanalyse.
Geheimtext: Daten in verschlüsseltem oder nicht lesbarem Format.
Encipher: Konvertieren von Daten in ein unlesbares Format.
Entschlüsseln: Konvertieren von Daten in ein lesbares Format.
Kryptovariable (Schlüssel): Geheime Bitfolge (Schlüssel), die zur Ver- und Entschlüsselung verwendet wird.
Steganographie: Die Kunst, die Existenz einer Nachricht in einem anderen Medium zu verbergen (z. B. in JPG, MP3
usw.)
Schlüsselhinterlegung: Die Schlüssel der Einheit werden in zwei Abschnitte aufgeteilt und zur Aufbewahrung an zwei
verschiedene Treuhandagenturen übergeben.
Die kryptografischen Systeme

Wie der Klartext Stream-Chiffren (S. 348 SSCP) : Stream-Chiffren sind symmetrische Algorithmen, die
verarbeitet wird Bit für Bit mit Klartext arbeiten . Stream-Verschlüsselungsalgorithmen erzeugen einen
Schlüsselstrom, der mit dem Klartext kombiniert wird, um den Chiffretext zu erstellen.
Wie bei anderen Chiffren erfolgt die Verarbeitung von Klartext über eine XOR-Operation.
Beispielsweise ist die Stream-Verschlüsselung RC4.
Blockchiffren (S. 346 SSCP) : Verschlüsselt Daten in diskreten Blöcken fester Größe .
Blockchiffren sind symmetrisch – sie verwenden denselben geheimen Schlüssel für die
Verschlüsselung und Entschlüsselung. Üblicherweise beträgt die Blockgröße 64 Bit, die
Verwendete Chiffrierprogramme
Symmetrische unterstützen jedoch je nach: Implementierung
Verschlüsselungsalgorithmen Auch als privater möglicherweise Blöcke
Schlüssel bekannt, da
Algorithmen oder nur ein Schlüssel verwendet wird und dieser aus Sicherheitsgründen geheim gehalten
Anzahl der verwendeten werden muss. Beide Parteien verwenden für die Ver- und Entschlüsselung denselben
Schlüssel. Schlüssel. Viel schneller als asymmetrische Systeme, schwer zu knacken, wenn eine große
Schlüsselgröße verwendet wird. Für die Schlüsselverteilung ist ein sicherer Mechanismus
zur Schlüsselübermittlung erforderlich. Eingeschränkte Sicherheit, da nur Vertraulichkeit
geboten wird. Das „Out-of-Band-Verfahren“ bedeutet, dass der Schlüssel über einen
anderen Kanal als die Nachricht übertragen wird.
Asymmetrische Verschlüsselungsalgorithmen : Auch bekannt als öffentlicher Schlüssel.

Zwei verschiedene asymmetrische Schlüssel sind mathematisch miteinander verbunden –
der öffentliche und der private Schlüssel. Bessere Schlüsselverteilung als symmetrische
2
4
Schlüssel-Clustering = Wenn eine Klartextnachricht identische Chiffretextnachrichten mit demselben
Transformationsalgorithmus, aber mit unterschiedlichen Schlüsseln generiert .
Sicheres Nachrichtenformat : Die gesamte Nachricht wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt
– nur der Empfänger kann die Nachricht mit seinem eigenen privaten Schlüssel entschlüsseln und so die
Vertraulichkeit gewährleisten. [Dies ist die normale Methode] Offenes Nachrichtenformat : Gesamte Nachricht
verschlüsselt mit dem privaten Schlüssel des Absenders – jeder kann die Nachricht mit dem öffentlichen Schlüssel des
Absenders entschlüsseln, aber er kann sicher sein, dass die Nachricht vom Absender stammt.
Sicheres und signiertes Format : Mit dem privaten Schlüssel des Absenders signiert und die gesamte Nachricht mit dem
öffentlichen Schlüssel des Empfängers verschlüsselt. Nur der Empfänger kann die Nachricht mit seinem eigenen
privaten Schlüssel entschlüsseln und so die Vertraulichkeit gewährleisten. Durch Signieren der Nachricht mit dem
privaten Schlüssel des Absenders kann der Empfänger ihre Authentizität mithilfe des öffentlichen Schlüssels des
Absenders überprüfen. [Am sichersten]
5.1 Symmetrische Verschlüsselungsalgorithmen (S. 333 SSCP)

Data Encryption Standard (DES) [Manchmal auch als Data Encryption Algorithm – DEA bezeichnet]: Basiert auf dem
128-Bit-Algorithmus Lucifer von IBM . Ein Blockverschlüsselungsalgorithmus, 64 Bit rein -> 64 Bit raus. 56 Bits bilden
den wahren (effektiven) Schlüssel und 8 Bits dienen der Parität . Ein 64-Bit-Block wird in zwei Hälften geteilt und jedes
Zeichen wird einzeln verschlüsselt. Die Zeichen durchlaufen 16 Transpositions- und Substitutionsrunden.
3DES: Verwendet 48 Runden für die Berechnung. Die Leistung ist stark beeinträchtigt und die Ver- und Entschlüsselung
kann bis zu dreimal länger dauern als bei DES. 168-Bit- Schlüsselgröße (d. h. 3x56)
Advanced Encryption Standard (AES): NIST-Ersatzstandard für DES basierend auf Rijndael. AES ist eine
Blockverschlüsselung mit variabler Block- und Schlüssellänge. Verwendet eine runde Transformation, die aus drei
Schichten unterschiedlicher und invertierbarer Transformationen besteht : der nichtlinearen Schicht; Die lineare
Mischschicht; Die Schlüsseladditionsebene. AES bietet drei Schlüssellängenoptionen: 128, 192 und 256 Bit .
Internationaler Datenverschlüsselungsalgorithmus (IDEA): Es wird ein 128-Bit-Schlüssel verwendet . Die
Blockverschlüsselung arbeitet mit 64-Bit-Datenblöcken. Der 64-Byte-Datenblock ist in 16 kleinere Blöcke unterteilt, auf
denen jeweils acht Runden mathematischer Funktionen ausgeführt werden. Wird in PGP verwendet .
Skipjack: Wird für elektronische Verschlüsselungsgeräte (Hardware) verwendet . Dies macht es einzigartig, da die
anderen Algorithmen entweder in Hardware oder Software implementiert werden können. SkipJack funktioniert ähnlich
wie DES, verwendet jedoch einen 80-Bit-Schlüssel und 32 Runden anstelle von 56-Bit-Schlüsseln und 16 Runden (DES).
Blowfish: Eine Blockverschlüsselung, die mit 64-Bit-Datenblöcken funktioniert. Die Schlüssellänge kann bis zu 448 Bit
betragen und die Datenblöcke durchlaufen 16 Runden kryptografischer Funktionen.
RC4/5: Eine Blockverschlüsselung, die über eine Vielzahl von Parametern verfügt, die sie für Blockgröße, Schlüsselgröße
und die Anzahl der verwendeten Runden verwenden kann. Blockgrößen: 32/64/128 und Schlüsselgröße bis zu 2048 Bit.
5.2 Asymmetrische Verschlüsselungsalgorithmen (S. 331 SSCP)

Diffie-Hellman-Algorithmus: Dies war die erste veröffentlichte Verwendung der Public-Key-Kryptographie (1976).
Aufgrund der inhärenten Langsamkeit der asymmetrischen Kryptographie war der Diffie-Hellman-Algorithmus nicht für
die Verwendung als allgemeines Verschlüsselungsschema gedacht, sondern vielmehr für die Übertragung eines privaten
Schlüssels für den Data Encryption Standard (DES) (oder einen ähnlichen symmetrischen Algorithmus) über einen
unsicheres Medium - z. B. Schlüsselverteilung.
RSA: Rivest, Shamir und Adleman schlugen ein weiteres Verschlüsselungssystem mit öffentlichem Schlüssel vor. Bietet
Authentifizierung (digitale Signatur), Verschlüsselung und Schlüsselaustausch. Wird in vielen Webbrowsern mit SSL und
in SSH verwendet. Sicherheit basiert auf der Schwierigkeit, große Zahlen zu faktorisieren.
Digital Signature Algorithm (DSA), auch bekannt als Digital Signature Standard (DSS – siehe unten): Ein
Verschlüsselungsalgorithmus mit öffentlichem Schlüssel. Der Algorithmus verwendet öffentliche und private
Schlüsselpaare. Nur der private Schlüssel kann eine Signatur erstellen. Dies ermöglicht die Überprüfung der Identität des
Absenders sowie die Sicherstellung der Integrität der signierten Nachrichtendaten. Die im Erstellungs- und
Verifizierungsprozess verwendete Hash-Funktion ist im Secure Hash Standard (SHS) definiert. Der private Schlüssel und
der Digest (Hash-Wert) werden dann als Eingaben für den DSA verwendet, der die Signatur generiert. Zur Nachrichten-
und Absenderüberprüfung verwendet der Empfänger die Hash-Funktion, um einen Nachrichtenauszug zu erstellen, und
anschließend wird der öffentliche Schlüssel des Absenders zur Überprüfung der Signatur verwendet. Zulässiger
Schlüsselbereich von 512 bis 1.024 Bit. DSA ist bei der Signaturüberprüfung langsamer als RSA.
Elliptic Curve Cryptosystem (ECC): Bietet digitale Signaturen, sichere Schlüsselverteilung und Verschlüsselung.
Benötigt aufgrund der Verwendung der modularen Potenzierung diskreter logarithmischer Funktionen einen geringeren
Prozentsatz an Ressourcen als andere Systeme .
5.3 Symmetrische vs. asymmetrische Systeme

Attribut Symmetrisches System Asymmetrisches System
2
5
Schlüssel Ein Schlüssel zur Verschlüsselung und Zwei Schlüssel, einer zur Verschlüsselung, der andere zur
Schlüsselaustaus Entschlüsselung
Außerhalb der Bandbreite Entschlüsselung
Der symmetrische Schlüssel wird verschlüsselt und mit der
ch Nachricht gesendet. Somit wird der Schlüssel über eingehende
Geschwindigkeit Schnellerer Algorithmus Mittel verteilt
Komplexer und langsamer (ressourcenintensiv)
Schlüssellänge Feste Schlüssellänge Variable Schlüssellänge
Praktischer Zur Verschlüsselung großer Dateien Zum Schlüsselaustausch (Geheimschlüssel) und
Nutzen
Sicherheit Vertraulichkeit und Integrität Schlüsselverteilung
Vertraulichkeit, Integrität, Authentifizierung und
Nichtabstreitbarkeit
5.4 Nachrichtenintegrität
Einweg-Hash: Ist eine Funktion, die eine Zeichenfolge variabler Länge einer Nachricht nimmt, sie komprimiert und in
einen Wert fester Länge umwandelt, der als Hash-Wert bezeichnet wird. Der Hashwert des Einweg-Hashs wird als
Message Digest bezeichnet. Es kann nicht in umgekehrter Reihenfolge durchgeführt werden. Es sorgt lediglich für die
Integrität einer Nachricht, nicht für Vertraulichkeit oder Authentifizierung. Es wird beim Hashing verwendet, um einen
Fingerabdruck für eine Nachricht zu erstellen.
Digitale Signaturen: Ein verschlüsselter Hashwert einer Nachricht. Berechnen Sie zunächst den Hash des Dokuments und
verschlüsseln Sie dann den Nachrichtenauszug mit dem privaten Schlüssel des Absenders. Das Ergebnis ist die digitale
Signatur
Digital Signature Standard (DSS): Ein Standard für digitale Signaturen, Funktionen und akzeptable Verwendung. Ist ein
Standard, der sich NICHT mit der Verschlüsselung befasst.
5.4.1 Hash-Algorithmen (S.337 SSCP)
MD4: Erzeugt 128-Bit-Hashwerte. Wird für Hochgeschwindigkeitsberechnungen bei der
Softwareimplementierung verwendet und ist für Mikroprozessoren optimiert.
MD5: Erzeugt 128-Bit-Hashwerte. Komplexer als MD4. Verarbeitet Text in 512-Bit-Blöcken.
MD2: Erzeugt 128-Bit-Hashwerte. Langsamer als MD4 und MD5
SHA: Erzeugt 160-Bit -Hashwerte. Dies wird dann in den DSA eingegeben, der die Signatur für eine Nachricht
berechnet. Anstelle der gesamten Nachricht wird der Nachrichtenauszug signiert.
SHA-1: Aktualisierte Version von SHA.
HAVAL: Ist eine Einweg-Hash-Funktion variabler Länge und die schnellere Modifikation von MD5.
Verarbeitet Text in 1024-Bit-Blöcken. HAVAL komprimiert eine Nachricht beliebiger Länge in einen Digest
von 128, 160, 192, 224 oder 256 Bit. Darüber hinaus verfügt HAVAL über einen Parameter, der die Anzahl der
Durchgänge steuert, die ein Nachrichtenblock (von 1024 Bits) verarbeitet. Ein Nachrichtenblock kann in 3, 4
oder 5 Durchgängen bearbeitet werden.
Hash-Salting : Bezieht sich auf den Prozess des Hinzufügens zufälliger Daten zum Hash-Wert. Viele Hashes weisen
Schwächen auf oder könnten in einer Hash-Nachschlagetabelle nachgeschlagen werden (sofern die Tabelle groß genug
und der Computer schnell genug wäre). Das Salzen des Haschischs negiert diese Schwäche. Zu den kryptografischen
Protokollen, die Salts verwenden, gehört SSL.
5.5 Link- und Ende-zu-Ende-Verschlüsselung

Verbindungsverschlüsselung: Verschlüsselt alle Daten entlang eines bestimmten Kommunikationspfads, z. B. einer T3-
Leitung oder einer Telefonleitung. Daten, Header, Trailer, Adressen und Routing-Daten, die Teil der Pakete sind, werden
verschlüsselt. Bietet Schutz vor Paketschnüfflern und Lauschangriffen . Pakete müssen bei jedem Hop entschlüsselt und
erneut verschlüsselt werden. Es liegt auf der physikalischen Ebene des OSI-Modells.
Ende-zu-Ende-Verschlüsselung: Nur Daten werden verschlüsselt. Wird normalerweise auf der Anwendungsebene des
Ursprungscomputers initiiert. Bleibt von einem Ende seiner Reise bis zum anderen verschlüsselt. Es ist eine höhere
Granularität der Verschlüsselung verfügbar, da jede Anwendung oder jeder Benutzer einen anderen Schlüssel verwenden
kann. Es liegt auf der Anwendungsebene des OSI-Modells.
5.6 Kryptographie für E-Mails

Privacy-Enhanced Mail (PEM): Bietet Vertraulichkeit, Authentifizierung und Nichtabstreitbarkeit. Spezifische
Komponenten, die verwendet werden können:
- Mit DES im CBC-Modus verschlüsselte Nachrichten - Verwaltung öffentlicher Schlüssel durch RSA
- Authentifizierung durch MD2 oder MD5 - X.509-Standard für Zertifizierungsstruktur und -format
Message Security Protocol (MSP): Kann Nachrichten signieren und verschlüsseln und Hashing-Funktionen ausführen.
Pretty Good Privacy (PGP): Entwickelt von Phil Zimmerman. Verwendet die RSA-Verschlüsselung mit öffentlichem
Schlüssel für die Schlüsselverwaltung und die symmetrische IDEA-Verschlüsselung für die Massenverschlüsselung von
Daten. PGP verwendet Passphrasen, um den privaten Schlüssel des Benutzers zu verschlüsseln, der auf seiner Festplatte
gespeichert ist. Es bietet auch digitale Signaturen.
2
6
S/MIME – sichere Mehrzweck-Internet-Mail-Erweiterungen: S/MIME ist der von RSA entwickelte Standard zum
Verschlüsseln und digitalen Signieren von E-Mails, die Anhänge enthalten, und zur Bereitstellung eines sicheren
elektronischen Datenaustauschs (EDI). Bietet Vertraulichkeit durch den Verschlüsselungsalgorithmus des Benutzers,
Integrität durch den Hashing-Algorithmus des Benutzers, Authentifizierung durch die Verwendung von X.509-Public-
Key-Zertifikaten und Nichtabstreitbarkeit durch kryptografisch signierte Nachrichten – d. h. es wird ein auf öffentlichen
Schlüsseln basierendes, hybrides Verschlüsselungsschema verwendet.
5.7 Internet sicherheit

S-HTTP – Secure Hypertext Transport Protocol: Verschlüsselt Nachrichten mit Sitzungsschlüsseln. Bietet Integritäts-
und Absenderauthentifizierungsfunktionen. Wird verwendet, wenn eine einzelne Nachricht verschlüsselt werden muss .
HTTPS: Schützt den Kommunikationskanal zwischen zwei Computern. Verwendet SSL und HTTP. Wird verwendet,
wenn alle Informationen, die zwischen zwei Computern ausgetauscht werden, verschlüsselt werden müssen.
SSL (Secure Sockets Layer): Schützt einen Kommunikationskanal durch die Verschlüsselung mit öffentlichen
Schlüsseln. Verwendet öffentlich Schlüssel (asymmetrisch) für Schlüsselaustausch und zertifikatbasierte
Authentifizierung und privater Schlüssel (symmetrisch) für Verkehrsverschlüsselung .
Bietet Datenverschlüsselung, Serverauthentifizierung, Nachrichtenintegrität und Clientauthentifizierung. Hält den
Kommunikationspfad offen, bis eine der Parteien die Beendigung der Sitzung anfordert (TCP verwenden). Liegt unterhalb
der Anwendungsschicht und oberhalb der Transportschicht des OSI-Modells. Ursprünglich von Netscape entwickelt –
Version 3 mit öffentlichem Input entworfen. Anschließend wurde der Internetstandard TLS (Transport Layer Security)
genannt. Wenn man fragt, auf welcher Schicht von OSI-SSL gearbeitet wird, lautet die Antwort „Transport“ .
SET – Secure Electronic Transaction: System zur Gewährleistung der Sicherheit von Finanztransaktionen im Internet.
Mastercard, Visa, Microsoft und andere unterstützten es zunächst. Mit SET erhält ein Benutzer eine elektronische
Geldbörse (digitales Zertifikat) und eine Transaktion wird mithilfe einer Kombination aus digitalen Zertifikaten und
digitalen Signaturen so durchgeführt und verifiziert, dass Privatsphäre und Vertraulichkeit gewährleistet sind. Verwendet
einige, aber nicht alle Aspekte einer PKI. SSH: Wird zum sicheren Anmelden und Arbeiten an einem Remote-Computer
über ein Netzwerk verwendet. Verwendet einen Tunnelmechanismus, der einen terminalähnlichen Zugriff auf Computer
ermöglicht. Sollte anstelle von Telnet, FTP, RSH usw. verwendet werden.
IPSec (Internet Protocol Security): Eine Methode zum Einrichten eines sicheren Kanals für den geschützten
Datenaustausch zwischen zwei Geräten. Bietet Sicherheit für die tatsächlichen IP-Pakete auf der Netzwerkebene. Wird
normalerweise zum Einrichten eines VPN verwendet. Es handelt sich um ein offenes, modulares Framework, das viel
Flexibilität bietet. Nur zum Schutz von Protokollen der oberen Schicht geeignet. IPSec verwendet zwei Protokolle: AH
und ESP.
AH (Authentication Header): Unterstützt Zugriffskontrolle, Datenursprungsauthentifizierung und
verbindungslose Integrität. AH bietet Integrität, Authentifizierung und Nichtabstreitbarkeit – bietet KEINE
Vertraulichkeit. ESP (Encapsulated Security Payload) : Verwendet kryptografische Mechanismen, um
Quellenauthentifizierung (durch IP-Header), Vertraulichkeit und Nachrichtenintegrität bereitzustellen.
IPSec funktioniert in zwei Modi:
1. Transportmodus : Nur die Nutzlast der Nachricht wird verschlüsselt. (für Peer-to-Peer)
2. Tunnelmodus : Nutzlast, Routing und Header-Informationen werden verschlüsselt. (für Gateway-
zu-Gateway)
5.8 PKI (S. 355 SSCP)

Die Public-Key-Kryptographie wurde 1976 von Diffie und Hellman ins Leben gerufen und 1977 entwickelten Rivest,
Shamir und Adleman das RSA-Kryptosystem (erstes Public-Key-System). Jedes Public-Key-Kryptosystem verfügt über
eigene Richtlinien, Verfahren und Technologien, die zur Verwaltung der Systeme erforderlich sind. Der X.509-Standard
bietet eine Grundlage für die Definition von Datenformaten und Verfahren für die Verteilung öffentlicher Schlüssel über
Zertifikate, die von CAs digital signiert werden.
5.8.1 X.509
X.509 ist der Standard, der verwendet wird, um zu definieren, was ein digitales Zertifikat ausmacht . Es wurde
aus dem X.500-Standard für Verzeichnisdienste entwickelt . In Abschnitt 11.2 von X.509 wird beschrieben,
dass ein Zertifikat eine Zuordnung zwischen dem Distinguished Name (DN) eines Benutzers und dem
öffentlichen Schlüssel des Benutzers ermöglicht . Ein gängiges X.509-Zertifikat würde Folgendes umfassen:
DN, Seriennummer, Aussteller, Gültig von, Gültig bis, öffentlicher Schlüssel, Betreff usw.
Im Folgenden sind die Komponenten einer PKI aufgeführt:
2
7
Digitales Zertifikat : Eine elektronische Datei, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) eines
Drittanbieters ausgestellt wurde. Es enthält Anmeldeinformationen dieser Person sowie andere identifizierende
Informationen (z. B. den öffentlichen Schlüssel eines Benutzers) . Es gibt zwei Arten von digitalen Zertifikaten:
Serverzertifikate und persönliche Zertifikate.
Zertifizierungsstelle (CA): Eine Organisation, die öffentliche Schlüsselzertifikate pflegt und ausstellt; sie entspricht
einem Passamt. Sie sind für die Lebensdauer eines Zertifikats verantwortlich – also für Ausstellung, Ablauf usw. CAs
stellen Zertifikate aus, die die Identität eines Benutzers oder Systems mit einer digitalen Signatur validieren.
Zertifizierungsstellen widerrufen auch Zertifikate, indem sie sie in der CRL veröffentlichen. Unter Kreuzzertifizierung
versteht man die Handlung oder den Prozess, bei dem zwei Zertifizierungsstellen jeweils einen öffentlichen
Schlüssel der jeweils anderen Zertifizierungsstelle zertifizieren und der anderen Zertifizierungsstelle ein Public-Key-
Zertifikat ausstellen, sodass Benutzer, die unter unterschiedlichen Zertifizierungshierarchien zertifiziert sind, das
Zertifikat der jeweils anderen Zertifizierungsstelle validieren können
Hinweis: Ein Schlüssel wird am oder nahe dem Ende der Schlüssellebensdauer erneuert, sofern sich keine der
Informationen geändert hat . Wenn sich die zur Ausstellung des Schlüssels verwendeten Informationen ändern, sollten
diese widerrufen und ein neuer Schlüssel ausgestellt werden .
Zertifikatssperrliste (CRL): Eine Liste aller Zertifikate, die aus irgendeinem Grund gesperrt wurden. Diese Liste wird
regelmäßig gepflegt und den betroffenen Parteien zur Verfügung gestellt. CRLs basieren normalerweise auf einem LDAP-
Server.
Registrierungsbehörde (RA) : Führt die Zertifizierungsregistrierungspflichten durch. Eine RA befindet sich innerhalb
einer Zertifizierungsstelle und stellt die Schnittstelle zwischen dem Benutzer und der Zertifizierungsstelle bereit. Es
authentifiziert die Identität der Benutzer und übermittelt die Zertifikatsanforderung an die Zertifizierungsstelle.
PKI bietet Vertraulichkeit, Zugriffskontrolle, Integrität, Authentifizierung und Nichtabstreitbarkeit. PKI-fähige
Anwendungen und Standards, die auf PKI basieren, umfassen SSL, S/MIME, SET, IPSec und VPN.
5.9 Kryptografische Angriffe

Nur-Ciphertext-Angriff: Erfassen mehrerer mit demselben Algorithmus verschlüsselter Chiffretextproben und deren
Analyse, um den Schlüssel zu ermitteln.
Nur bekannter Klartext: Der Angreifer verfügt über den Klartext und den verschlüsselten Chiffretext . So kann der
Angreifer den Chiffretext analysieren, um den Schlüssel zu ermitteln.
Chosen-Plaintext-Angriff: Der Angreifer kann den Klartext auswählen, der verschlüsselt werden soll. Dies wird
typischerweise beim Umgang mit Black-Box-Verschlüsselungsalgorithmen verwendet.
Man-in-the-Middle-Angriff: Abhören verschiedener Gespräche. Durch die Verwendung digitaler Signaturen während
des Sitzungsschlüsselaustauschs kann der Angriff umgangen werden.
Wörterbuchangriffe: Ergreift eine Passwortdatei mit Einwegfunktionswerten, nimmt dann die am häufigsten
verwendeten Passwörter und führt sie über dieselbe Einwegfunktion aus. Diese Dateien werden dann verglichen.
Replay-Angriff: Ein Angreifer kopiert ein Ticket, unterbricht die Verschlüsselung und versucht dann, sich als Client
auszugeben und das Ticket zu einem späteren Zeitpunkt erneut einzureichen, um unbefugten Zugriff auf eine Ressource zu
erhalten.
6.0 DATENKOMMUNIKATION
6.1 Datenkommunikationsmodelle:
TCP/IP OSI Beschreibung
7 Anwendung Stellt den Anwendungen verschiedene Dienste zur Verfügung (HTTP, FTP,
Telnet, SET, HTTP-S). Bietet Unbestreitbarkeit auf Anwendungsebene.
Bewerbung 6
Präsentation Konvertiert die Informationen (ASCII, JPEG, MIDI, MPEG, GIF)
5
Sitzung Behandelt Probleme, die keine Kommunikationsprobleme sind (PPP, SQL,
Gateways, NetBEUI)
Transport 4 Transport Bietet End-to-End-Kommunikationskontrolle (TCP, UDP, TLS/SSL)
Internet 3 Leitet die Informationen im Netzwerk weiter (IP, IPX, ICMP, RIP, OSPF,
Netzwerk (Pakete) IPSec, Router)
2 Datenlink (Rahmen) Bietet Fehlerkontrolle zwischen benachbarten Knoten (Ethernet, Token Ring,
Netzwerk FDDI, SLIP, PPP, RARP, L2F, L2TP, PPTP, FDDI, ISDN, 802.11, Switches,
Bridges)
2
8
1 Physisch (Bits) Verbindet die Entität mit den Übertragungsmedien (UTP, Koax,
Spannungspegel, Signalisierung, Hubs, Repeater) und wandelt Bits zur
Übertragung in Spannung um.
Die Sitzungsschicht ermöglicht die Kommunikation zwischen zwei Computern in drei verschiedenen Modi:
1. Simplex: Die Kommunikation erfolgt in eine Richtung.
2. Halbduplex: Die Kommunikation erfolgt in beide Richtungen, es kann jedoch immer nur ein System gleichzeitig Informationen senden.
3. Vollduplex: Die Kommunikation erfolgt in beide Richtungen und beide Systeme können gleichzeitig Informationen senden.
Datalink (Schicht 2) ist hauptsächlich für die Fehlerkorrektur auf Bitebene verantwortlich
Transport (Schicht 4), hauptsächlich verantwortlich für die Fehlerkorrektur auf Paketebene
6.2 TCP/IP – Transmission Control Protocol/Internet Protocol

IP: Die Hauptaufgabe besteht darin, die Adressierung zwischen Netzwerken sowie die Weiterleitung und Weiterleitung
von Paketen zu unterstützen. Ist ein verbindungsloses Protokoll, das Daten umschließt, die ihm von der Transportschicht
übergeben werden. IPv4 verwendet 32 Bit für seine Adresse und IPv6 verwendet 128 Bit .
TCP: Ist ein zuverlässiges und verbindungsorientiertes Protokoll, das sicherstellt, dass Pakete an den Zielcomputer
übermittelt werden. Wenn ein Paket während der Übertragung verloren geht, kann TCP es erneut senden. Bietet
Zuverlässigkeit und stellt sicher, dass die Pakete zugestellt werden. Es gibt mehr Overhead im TCP-Paket.
Verkapselungsprozess:
DATEN
Anwendungs-Header-Daten
TCP- Segment TCP- Header AnwendungDaten
IP-Datagramm IP-Header TCP-Header AnwendungDaten
Ethernet-Header IP-Header TCP-Header .Anwendungsdaten Ethernet-Trailer 4,
Ethrrnet -Rahmen –
Hinweis: Der IP-Header enthält ein Protokollfeld. Übliche Werte sind 1=ICMP 2=IGMP 6=TCP 17=UDP
TCP-Handshake:
1. Host sendet ein SYN-Paket 2. Empfänger antwortet mit einem SYN/ACK-Paket 3. Der Host sendet ein ACK-Paket
UDP: Ist ein Best-Effort- und verbindungsloses Protokoll. Verfügt nicht über Paketsequenzierung, Fluss- und
Überlastungskontrolle und das Ziel bestätigt nicht jedes empfangene Paket. Es gibt weniger Overheads im UDP-Paket.
TCP und UDP verwenden Portnummern mit einer Länge von 16 Bit
Denken Sie daran, dass nur TCP verbindungsorientiert ist (IP NICHT).
TCP Ich DP
Anwendung Strom Nachricht
Transport Segment Paket
Internet Datagram Datagramm
Netzwerk Rahmen ' • Rahmen
6.3 Gängige Arten von LAN-Systemen
Ethernet (802.3)
Ethernet verwendet eine Bus- oder Sterntopologie und unterstützt Datenübertragungsraten von 10 Mbit/s. Basierend auf
den IEEE 802.3-Spezifikationen. Es handelt sich um einen der am weitesten verbreiteten LAN-Standards. Neuere
Versionen von Ethernet, 100Base-T (oder Fast Ethernet) genannt, unterstützen Datenübertragungsraten von 100 Mbit/s
und Gigabit-Ethernet unterstützt Datenraten von 1 Gigabit (1.000 Megabit) pro Sekunde. Eine Ethernet-Adresse (auch
bekannt als physische MAC-Adresse) verwendet 48 Bit.
Token-Ring (802.5)
Eine Art Computernetzwerk, bei dem alle Computer logisch in einem Kreis angeordnet sind. Ein Token, ein spezielles
Bitmuster, bewegt sich im Kreis. Um eine Nachricht zu senden, fängt ein Computer das Token ab, hängt eine Nachricht
daran an und lässt es dann weiter durch das Netzwerk wandern. Welches Gerät über den Token verfügt, kann Daten in das
Netzwerk einspeisen. Anschließend entfernt die Station den Token aus dem Ring und beginnt mit der Übertragung. Da es
nur einen Token gibt, kann zu einem bestimmten Zeitpunkt nur eine Station senden, wodurch Kollisionen auf dem Kanal
vermieden werden . Nach Abschluss der Übertragung gibt die Station den Token an den Ring zurück. Systemregeln in den
Protokollspezifikationen legen fest, wie lange ein Gerät den Token behalten darf, wie lange es übertragen kann und wie
ein neuer Token generiert werden soll, wenn keiner im Umlauf ist.
FDDI (Fiber Distributed Data Interface)
Eine Reihe von ANSI-Protokollen zum Senden digitaler Daten über Glasfaserkabel. FDDI-Netzwerke sind Token-Passing-
Netzwerke und unterstützen Datenraten von bis zu 100 Mbit/s. FDDI-Netzwerke werden typischerweise als Backbones für
Weitverkehrsnetze verwendet. Eine Erweiterung von FDDI, FDDI-2 genannt, unterstützt die Übertragung von Sprach- und
2
9
Videoinformationen sowie Daten. Eine andere Variante von FDDI, die sogenannte FDDI-Vollduplex-Technologie
(FFDT), nutzt dieselbe Netzwerkinfrastruktur, kann jedoch möglicherweise Datenraten von bis zu 200 Mbit/s unterstützen.
Verwendet zwei Ringe – einen für Redundanz.
6.4 Verkabelung
Koaxialkabel: Beständig gegen EMI (elektromagnetische Störungen), bietet eine höhere Bandbreite und längere
Kabellängen im Vergleich zu Twisted-Pair-Kabeln . Kann sowohl im Basisband- als auch im Breitbandverfahren
übertragen. 10base2 : ThinNet, Koaxialkabel, maximale Länge 185 m , bietet 10 Mbit/s. 10base5 : Thicknet,
Koaxialkabel, maximale Länge 500 m , bietet 10 Mbit/s
Twisted Pair: Günstiger und einfacher zu handhaben als Koaxialkabel und ein häufig verwendetes Kabel. Das geschirmte
Twisted-Pair-Kabel (STP – 2 Drähte) verfügt über eine äußere Folienabschirmung, die zusätzlichen Schutz vor
Funkfrequenzstörungen bietet. Für ungeschirmte Twisted-Pair-Kabel (UTP – 4 Drähte) gibt es verschiedene
Verkabelungskategorien mit unterschiedlichen Eigenschaften. Der physische Anschluss zum Verbinden von PCs und
Netzwerkgeräten wird RJ-45 genannt. 10base-T : Verwendet Twisted-Pair-Verkabelung, bietet 10 Mbit/s, maximale
Länge 100 m.
Fast Ethernet : Verwendet Twisted-Pair-Verkabelung und bietet 100 Mbit/s.
Glasfaserverkabelung: Sie bietet höhere Übertragungsgeschwindigkeiten, kann über größere Entfernungen übertragen
werden und wird im Vergleich zu Verkabelungen, die Kupfer verwenden, nicht durch Dämpfung und elektromagnetische
Störungen beeinträchtigt. Es dient zur Verbindung zweier LANs. Es strahlt keine Signale wie UTP-Kabel aus und ist sehr
schwer abzuhören. Die Komplexität der Herstellung von Glasfaserverbindungen ist einer der größten Nachteile und zudem
teuer.
6.5 Signalisierungstypen
Basisband (digital): Das Basisband nutzt digitale Signale (Binärziffern als elektrische Impulse) zur Datenübertragung.
Signale fließen in Form von Strom- oder Lichtimpulsen durch das Medium. Um die Signale zu verstärken, werden
Repeater eingesetzt. Kabel überträgt nur einen Kanal .
Breitband (analog): Breitband nutzt analoge Signale (elektromagnetische Wellen) und eine Reihe von Frequenzen.
Das Signal fließt in Form optischer oder elektromagnetischer Wellen über ein Kabelmedium. Ein Repeater rekonstruiert
das Datenpaket und leitet es über das physische Medium an sein Ziel weiter. Das Kabel führt mehrere Kanäle .
[Ein Modem ist ein Digital-Analog-Wandler (DAC). Das Signal beginnt als Basisband (digital) und wird dann in Breitband (analog)
umgewandelt, bevor es über das Telefonkabelsystem übertragen wird]
6.6 Übertragungsarten (Ansätze)

Unicast: Informationen werden von einem Punkt zu einem anderen Punkt gesendet – die vorherrschende
Übertragungsform in LANs und im Internet. Alle LANs und IP-Netzwerke unterstützen den Unicast-Übertragungsmodus
und die meisten Benutzer sind mit den Standard-Unicast-Anwendungen (z. B. HTTP, SMTP, FTP und Telnet) vertraut, die
das TCP-Transportprotokoll verwenden. Multicast: Informationen werden von einem oder mehreren Punkten an eine
Reihe anderer Punkte gesendet. In diesem Fall kann es einen oder mehrere Sender geben und die Informationen werden an
eine Reihe von Empfängern verteilt. Das Format von IP-Multicast-Paketen ist identisch mit dem von Unicast-Paketen und
unterscheidet sich nur durch die Verwendung einer speziellen Klasse von Zieladressen (IP-Adresse der Klasse D), die eine
bestimmte Multicast-Gruppe bezeichnet. Da TCP nur den Unicast-Modus unterstützt, müssen Multicast-Anwendungen das
UDP-Transportprotokoll verwenden.
Broadcast: Ein Paket geht an alle Computer in seinem Subnetz. Die Broadcast-Übertragung wird in den meisten LANs
unterstützt und kann verwendet werden, um dieselbe Nachricht an alle Computer im LAN zu senden (z. B. verwendet das
Address Resolution Protocol (ARP) dies, um eine Adressauflösungsabfrage an alle Computer in einem LAN zu senden).
Die Daten werden an eine spezielle Broadcast-Adresse gesendet. Protokolle der Netzwerkschicht (z. B. IP) unterstützen
auch eine Form des Broadcasts, die es ermöglicht, das gleiche Paket an jedes System in einem logischen Netzwerk zu
senden.
6.6.1 LAN-Zugriffsmethoden
Carrier-Sense Multiple Access and Collision Detection (CSMA/CD): Überwacht die

Übertragungs-/Trägeraktivität auf der Leitung, um den besten Zeitpunkt für die Datenübertragung zu ermitteln.
Computer achten auf das Fehlen eines Trägertons, der darauf hinweist, dass niemand anderes gleichzeitig Daten
überträgt. Es kann immer noch zu Kollisionen kommen , diese werden jedoch erkannt und die Informationen
erneut gesendet.
Token-Passing: Ein 24-Bit-Kontrollrahmen, mit dem gesteuert wird, welche Computer in welchen Abständen
kommunizieren. Der Token gewährt einem Computer das Recht zur Kommunikation. Verursachen Sie keine
Kollisionen, da jeweils nur ein Computer kommunizieren kann , der über das Token verfügt.
Carrier-Sense Multiple Access mit Kollisionsvermeidung (CSMA/CA): Anstatt Kollisionen zu erkennen,
3
0
versucht es, diese zu vermeiden, indem jeder Computer seine Sendeabsicht signalisiert, bevor er tatsächlich
sendet. Obwohl CSMA/CA Kollisionen vermeidet (garantiert), entsteht ein zusätzlicher Overhead, wenn jede
Workstation ihre Absicht vor der Übertragung durch Senden eines Störsignals aussendet. Daher ist CSMA/CA
langsamer als CSMA/CD . CSMA/CA wird in Apple Talk-Netzwerken und auch im drahtlosen Bereich
verwendet.
6.7 Netzwerke
Lokales Netzwerk (LAN)
Umfasst ein relativ kleines geografisches Gebiet. Die meisten LANs sind auf ein einzelnes Gebäude oder eine Gruppe von
Gebäuden beschränkt. Eine Netzwerkschnittstellenkarte (NIC) verbindet Computer. Zwei Arten von LAN (1)
Kabelgebundenes LAN und (2) Drahtloses LAN Wide Area Network (WAN)
LANs, die über Entfernungen über Telefonleitungen/Funkwellen/Glasfaser miteinander verbunden sind.
Hochgeschwindigkeits-Dedizierte Netzwerke (Standleitungen oder Punkt-zu-Punkt-Netzwerk). Mit IPSec können
gesicherte WANs erstellt werden.
Metropolitan Area Network (MAN)
Ähnlich wie WAN sind MANs Hochgeschwindigkeits-Kommunikationsleitungen und -geräte, die ein Stadtgebiet
abdecken. Intranet: Ein Netzwerk einer Organisation, in der Regel eines Unternehmens, auf das nur Mitglieder,
Mitarbeiter oder andere Personen mit Genehmigung der Organisation zugreifen können (privates Netzwerk). Intranets
dienen dem Austausch von Informationen. Internet: Ein globales Netzwerk, das Millionen von Computern verbindet
(globale Verbindung von LAN, WAN und MAN). Das Internet ist von Natur aus dezentralisiert. Jeder Internetcomputer,
Host genannt, ist unabhängig.
Extranet: Ein Intranet, das teilweise für autorisierte Außenstehende zugänglich ist. Ein Extranet bietet verschiedene
Ebenen der Zugänglichkeit für Außenstehende und ist ein beliebtes Mittel für den Informationsaustausch zwischen
Geschäftspartnern.
6.8 Netzwerktopologie
Ringtopologie: Reihe von Geräten, die durch unidirektionale Übertragungsverbindungen verbunden sind und einen Ring
bilden. Jeder Knoten ist von den vorhergehenden Knoten abhängig. Wenn ein System ausfällt, könnten alle anderen
Systeme ausfallen.
Bustopologie: Ein einziges Kabel verläuft über die gesamte Länge des Netzwerks. Jeder Knoten entscheidet, ob er das
Paket akzeptiert, verarbeitet oder ignoriert. Das Kabel, an dem alle Knoten angeschlossen sind, ist ein potenzieller Single
Point of Failure.
Sterntopologie: Alle Knoten sind mit einem zentralen Hub oder Switch verbunden. Jeder Knoten verfügt über eine
dedizierte Verbindung zum zentralen Hub. Leicht zu pflegen.
Mesh-Topologie: Alle Systeme und Ressourcen sind miteinander verbunden.
6.9 IEEE-Standards
Das Projekt 802 des Institute of Electrical and Electronics Engineers (IEEE) wurde gestartet, um LAN-Standards
festzulegen:
802.3 – LAN-Architektur zur Ausführung von CSMA/CD (Ethernet)

802.5 – LAN-Architektur zur Ausführung im Token-Ring-Netzwerk.
802.6 – LAN-Architektur für MANs. (Metropolitan Networks)
802.8 – Die LAN-Architektur befasst sich mit der Glasfaserimplementierung von Ethernet (Fiber Optic Tag).
802.9 – LAN beschäftigt sich mit integrierten Daten und Sprache (Isochrone LANs)
802.11 x – WLAN
802.11b: Max. 11 Mbit/s
802.11g: Max. 54 Mbit/s
802.11i: (auch bekannt als WPA2) spezifiziert Sicherheitsmechanismen für WLANs.
3
1
6.10 Netzwerkgeräte
Hub oder Physikalische Sendet alle Pakete an alle Ports . Wenn er ein Paket empfängt, überträgt
Repeater Schicht (OSI- (wiederholt) er das Paket an alle seine Ports (an alle anderen PCs im Netzwerk).
Schicht 1) Dies kann dazu führen, dass viel unnötiger Datenverkehr im Netzwerk gesendet
Brücke wird. Pakete und Filter basierend auf MAC-Adressen weiter; leitet Broadcast-
Datenverbindungss Leitet
chicht (OSI- Verkehr weiter, jedoch keinen Kollisionsverkehr. Kann zur Erweiterung von
Schalter Schicht 2)
Datenverbindungss Netzwerken
Switches verwendet
steuern werden.
den Fluss des Netzwerkverkehrs basierend auf den
chicht (OSI- Adressinformationen in jedem Paket. Ein Switch ist ein intelligenter Hub , der
Schicht 2) lernt, welche Geräte (MAC add) mit seinen Ports verbunden sind und Pakete nur
Reduziert unnötigen Datenverkehr.
Router Netzwerkschicht Ein Gerät, das Datenpakete über Netzwerke weiterleitet. Ein Router ist mit
(OSI-Schicht 3) mindestens zwei Netzwerken verbunden. Router verwenden Header und
Weiterleitungstabellen, um den besten Pfad für die Weiterleitung der Pakete zu
ermitteln.
Ein Gateway ist ein Knoten in einem Netzwerk, der als Eingang zu einem anderen Netzwerk dient.
Proxys fangen alle Anfragen ab, die vom Client an den realen Server gehen. Es wird im Allgemeinen aus Leistungs- und
Filtergründen verwendet. Dadurch wird auch die interne (private) IP-Adresse ausgeblendet.
6.11 Firewalls (S. 400 SSCP)

Geräte zur Verhinderung unbefugten Zugriffs. Kann in Hardware oder Software implementiert werden. Alle Pakete, die
das Netzwerk betreten bzw. verlassen, werden gemäß einem vordefinierten Regelsatz (Zugriffskontrolle) untersucht.
Typen sind:
Paketfilter, auch Der gebräuchlichste Firewall-Typ. Wird Vorteil: Günstig, benötigt möglicherweise keine
Screening- zwischen vertrauenswürdigem und dedizierte Hardware (kann einen Router verwenden),
Router genannt ungetestetem Netzwerk platziert. Verwendet einfach einzurichten.
(Schicht 3 oder ACLs, um den Datenverkehr zu filtern. Dis: Es ist schwierig, ACLs beizubehalten, die
4)
Anwendung Überprüft alle Pakete auf Netzwerkleistung
Adv: nimmt ab.
Sicherer als Paketfilterung – kann erkennen,
Proxy (auch Anwendungsebene, um welche Anwendung das Paket zu verwenden
bekannt als anwendungsspezifische Befehle wie http: versucht.
Bastion Host post und get usw. zu filtern. Verwendet Dis: Erfordert mehr Datenverarbeitung und kann die
ODER normalerweise 2 NICs Netzwerkleistung noch weiter verlangsamen.
Anwendungssch
icht/-ebene)
Staatsbürgerlic Überwacht Pakete, um sie zu filtern , sowie Vorteil: Schneller als Anwendungs-Proxy und
h Inspektion den Status von Verbindungen. (schließt z. sicherer als Paketfilterung.
(Schicht 3) B. eine halboffene Verbindung). Dis: Teuer.
Screened-Host Verwendet eine paketfilternde Adv: Sehr sicher
Firewall/einen Router und einen Bastion- Dis: Paketfilternde Firewall/Router sind ein
Host (Anwendungs-Proxy). einzelner Angriffspunkt.
Abgeschirmtes Es verwendet zwei paketfilternde Adv: Gilt als die sicherste Art von Firewall. Dis:
Subnetz Firewalls/Router und einen Bastion-Host. Paketfilternde Firewall/Router sind ein einzelner
Trennt Internet, DMZ und externe Angriffspunkt, aber da es einen zweiten gibt, der das
Netzwerke. Unterstützt beide Pakete interne Netzwerk schützt, ist es immer noch sicher.
Filter- und Anwendungs-Proxy-Dienste
6.12 Protokolle
Internetprotokoll (IP): Siehe vorheriges (S. 25)
Transmission Control Protocol (TCP): Siehe vorher (S. 25)
User Datagram Protocol (UDP): Siehe vorheriges (S. 25)
NetBios Extended User Interface (NetBEUI): Es handelt sich um eine erweiterte Version des NetBIOS-Protokolls, das
von Netzwerkbetriebssystemen wie LAN Manager verwendet wird. NetBIOS arbeitet auf Schicht 5 (Sitzung).
6.12 Remote-Authentifizierungsdienstserver
Zur Authentifizierung und Autorisierung von Remote-Benutzern wurden verschiedene Methoden entwickelt, um das
System sicher zu machen. Zu den Möglichkeiten, über die wir auf die Ferndienste zugreifen können, gehören unter
anderem: DFÜ, ISDN (Integrated Services Digital Network), DSL (Digital Subscriber Line), Kabelmodems (bieten
Hochgeschwindigkeitszugang).
RADIUS (Remote Authentication Dial-In User Service): Einfachste Methode zur Bereitstellung der
3
2
Benutzerauthentifizierung. Der RADIUS-Server enthält eine Liste von Benutzernamen und Passwörtern, auf die sich
Systeme im Netzwerk bei der Authentifizierung eines Benutzers beziehen. RADIUS unterstützt eine Reihe gängiger
Protokolle wie PPP, PAP und CHAP. RADIUS verwendet UDP zusammen mit dem Client- und Servermodell. RADIUS
verschlüsselt nur das Passwort, der Rest des Pakets ist unverschlüsselt. Ein Dritter könnte andere Informationen wie
Benutzernamen und autorisierte Dienste erfassen. RADIUS kombiniert Authentifizierung und Autorisierung.
TACACS (Terminal Access Controller Access Control System): Bietet Remote-Authentifizierung und
Ereignisprotokollierung unter Verwendung von UDP als Kommunikationsprotokoll. Der Benutzer versucht, sich bei einem
TACACS-Gerät anzumelden. Das Gerät verweist auf den TACACS-Server, um den Benutzer zu authentifizieren. Dies
bietet einen zentralen Ort für die Speicherung aller Benutzernamen und Passwörter. Es ist nicht möglich, dass ein Gerät
einen Benutzer auffordert, sein Passwort zu ändern. Es werden auch keine dynamischen Passwort-Tokens verwendet. Die
Informationen werden NICHT verschlüsselt .
TACACS+ (Terminal Server Controller Access Control Systems Plus): Bietet Erweiterungen zur Standardversion von
TACACS. Es ermöglicht Benutzern, ihr Passwort zu ändern; dynamische Passwort-Token, damit die Token neu
synchronisiert werden können; bietet außerdem bessere Prüffunktionen. TACACS+ verwendet TCP als
Kommunikationsprotokoll. Verschlüsselt den gesamten Paketkörper, hinterlässt jedoch einen standardmäßigen
TACACS+-Header.
PPP – Point-to-Point: Wird verwendet, um Nachrichten zu kapseln und über ein IP-Netzwerk zu übertragen.
PAP – Password Authentication Protocol: Bietet die Identifizierung und Authentifizierung des Benutzers, der versucht,
vom Remote-System aus auf ein Netzwerk zuzugreifen. (Der Benutzer sollte ein Passwort eingeben). Der Name und das
Passwort des Benutzers werden zum Abgleich mit der Datenbank über das Kabel an einen Server gesendet. Sniffing ist
möglich, da das Passwort erfasst werden kann.
CHAP – Challenge Handshake Authentication Protocol: Ein Authentifizierungsprotokoll, das zur Authentifizierung
einen Challenge/Response-Mechanismus verwendet, anstatt einen Benutzernamen und ein Passwort zu senden. Vermeidet
das Versenden von Passwörtern in jeglicher Form über das Kabel durch die Verwendung einer Challenge/Response-
Technik. CHAP ist besser als PAP. Die Authentifizierung kann beliebig oft wiederholt werden, um sicherzustellen, dass
„Replay“-Angriffe nicht möglich sind.
Serial Line Internet Protocol (SLIP) und Point-to-Point Protocol (PPP): Funktioniert auf Schicht 2 (Datalink), um
zwei Systeme über eine serielle Leitung (Punkt-zu-Punkt-Kommunikationsleitung mit einem DFÜ-Modem) zu
verbinden. , ist eine Möglichkeit erforderlich, IP-Pakete (eine Aktivität der Netzwerkschicht) über die serielle Verbindung
(eine Aktivität der Datenverbindungsschicht) zu transportieren. Die folgenden beiden Schemata werden im Allgemeinen
verwendet: SLIP und PPP . PPP hat SLIP abgelöst, da letzteres keine Fehlererkennung, keine dynamische Zuweisung von
IP-Adressen und keine Datenkomprimierung bietet.
Point-to-Point-Tunneling-Protokoll (PPTP): PPTP wurde von Microsoft entwickelt, um virtuelle Einwahldienste
bereitzustellen. PPTP ist ein auf PPP basierendes Kapselungsprotokoll, das PPP-Pakete verschlüsselt und kapselt.
Layer 2 Tunneling Protocol (L2TP): Die Erweiterung des Point-to-Point-Protokolls (PPP). L2TP wird auch als
„virtuelles Einwahlprotokoll“ bezeichnet, da es eine Einwahl-PPP-Sitzung über das Internet erstreckt. Die PPP-Frames des
Clients werden in IP-Pakete mit einem L2TP-Tunneling-Header gekapselt und über die Internetverbindung gesendet.
L2TP wurde von PPTP-Funktionen und dem Cisco-Protokoll namens L2F (Layer 2 Forwarding) abgeleitet.
- L2TP unterstützt TACACS+ und RADIUS-Authentifizierung. PPTP nicht.
- L2TP unterstützt außerdem mehr Protokolle als PPTP, darunter IPX, SNA und andere.
- Microsoft unterstützt weiterhin PPTP für seine Windows-Produkte, L2TP wird jedoch PPTP vorgezogen.
- IPSec ist heute der Internetstandard für Tunneling und sichere VPNs.
Layer 2 Forward Protocol (L2F): Wird zum Aufbau eines sicheren Tunnels über das Internet verwendet, der von Cisco
entwickelt wurde. Dieser Tunnel stellt eine virtuelle Punkt-zu-Punkt-Verbindung zwischen dem Benutzer und dem
Netzwerk des Unternehmenskunden her. L2F ermöglicht die Kapselung von PPP/SLIP-Paketen innerhalb von L2F. Wird
von IPSec nicht verwendet. Es wird von VPNs verwendet.
6.12.1 Sicherheitsprotokolle der Netzwerkschicht

IP-Sicherheit (IPsec): Funktioniert auf Schicht 3 (Netzwerkschicht). IPSec bietet Authentifizierung, Integrität
und Verschlüsselung. Es wird häufig in VPNs (Virtual Private Networks) verwendet. Siehe S. 23 für mehr.
6.12.2 Sicherheitsprotokolle der Anwendungsschicht

Secure Sockets Layer (SSL): Von Netscape entwickeltes SSL zum Aufbau authentifizierter und
verschlüsselter Sitzungen zwischen Webservern und Web-Clients. Weitere Informationen finden Sie auf Seite
23.
Transport Layer Security (TLS): Die IETF-Version von SSL v3.0. Verwendet Diffie-Hellman-Kryptografie
mit öffentlichem Schlüssel. TLS verwendet neben IPSec auch HMAC (Hashed Message Authentication Code),
ein Kernprotokoll, das für die Sicherheit im Internet unerlässlich ist. HMAC ist der Mechanismus zur
Nachrichtenauthentifizierung, der entweder MD5- oder SHA-1-Hash-Funktionen in Kombination mit einem
gemeinsamen geheimen Schlüssel verwendet.
3
3
6.13 Kommunikationssicherheitstechniken
Netzwerkadressübersetzung (NAT): Ermöglicht die Verwendung eines Satzes von IP-Adressen für den internen
Datenverkehr und eines zweiten Satzes von Adressen für den externen Datenverkehr. Es ermöglicht Hosts in einem
privaten internen Netzwerk, transparent mit Zielen in einem externen Netzwerk zu kommunizieren oder umgekehrt. Im
Folgenden sind die NAT-Typen aufgeführt.
Statisch: Ordnet eine nicht registrierte IP-Adresse eins zu eins einer registrierten IP-Adresse zu.
[Normalerweise verwendet
für die Übersetzung von innen nach außen.]
Dynamisch: Ordnet eine nicht registrierte IP-Adresse einer registrierten IP-Adresse aus einer Gruppe
registrierter IP-Adressen zu. Port-Adressübersetzung: Eine Form von dynamischem NAT, die mehrere nicht
registrierte IP-Adressen mithilfe verschiedener Ports einer einzelnen registrierten IP-Adresse zuordnet.
Hinweis: Die Internet Assigned Numbers Authority (IANA) hat drei IP-Adressblöcke für die Verwendung in internen
privaten Netzwerken reserviert. Alle diese Adressen sind nicht routbar und können nicht mit dem Internet verbunden
werden:
1.1. .0.0 bis 10.255.255.255 (wird für große Organisationen verwendet)
172.16. 0,0 bis 172.31.255.255 (wird für mittlere Intranets verwendet)
192.168. 0,0 bis 192.168.255.255 (wird für kleine Intranets verwendet)
Virtuelles privates Netzwerk (VPN): Eine sichere private Verbindung über ein öffentliches Netzwerk. Bei einem
virtuellen privaten Netzwerk handelt es sich um die Erstellung privater Verbindungen über öffentliche Netzwerke wie das
Internet mithilfe von Verschlüsselungs- und Tunneltechniken. Vor IPSec wurde L2TP (Layer 2 Tunneling Protocol)
verwendet, um IP-Pakete in „Tunnelpakete“ zu kapseln, die die zugrunde liegende Internet-Routing-Struktur verbergen.
Im Allgemeinen werden zwei Arten von VPN verwendet.
1) Fernzugriff: Benutzer-LAN-Verbindung über ein öffentliches oder gemeinsam genutztes Netzwerk für
Mitarbeiter, die von einem entfernten Standort aus eine Verbindung zum Unternehmens-LAN herstellen
müssen. Die Benutzersysteme werden mit spezieller Client-Software ausgestattet, die eine sichere Verbindung
zwischen ihnen und dem Unternehmens-LAN ermöglicht.
2) Site-to-Site: VPN verbindet feste Standorte über das Internet oder Intranet mit einem Unternehmens-LAN.
IP-Adressbereiche
Adresstypen Beginnt mit
Adressen der Klasse 0-127 (128)
A
B
C
D
3
4
7.0 SCHÄDLICHER CODE
Virus Ist ein Programm oder ein Codestück, das ohne Erlaubnis geladen wurde, kann es sich verstecken, kann
reproduziert sich selbst und kann an jedes andere Programm angehängt werden. Der Virus wird
versuchen, unerwünschte/unerwünschte Dinge zu tun.
Wurm Ein Programm, das sich über ein Computernetzwerk replizieren kann und normalerweise ausgeführt
wird
böswillige Handlungen.
Trojanische Pferde Ein zerstörerisches Programm, das in ein scheinbar harmloses Programm eingefügt wurde. Dieses
Programm kann sowohl die beabsichtigte Funktion im Vordergrund als auch unerwünschte
Funktionen im Hintergrund ausführen.
Logikbombe Eine Logikbombe ist ein Programm oder ein Teil eines Programms, der inaktiv bleibt, bis ein bestimmter
Teil der Programmlogik oder ein Systemereignis aktiviert wird. Wenn die spezifische Logik erfüllt
ist, führt sie im Allgemeinen sicherheitsgefährdende Aktivitäten aus.
7.1 Verschiedene Arten von Viren

7.1.1 Welchen Teil Viren infizieren
Bootsektor: Bootsektorviren infizieren den Boot-Record auf Festplatten und Disketten. Wenn der infizierte Computer
erfolgreich startet, verbleibt der Bootsektor-Virus im Speicher und infiziert Disketten und andere Medien, wenn der
infizierte Computer sie beschreibt.
Master Boot Record (MBR): Sehr ähnlich zu Bootsektorviren, außer dass sie den MBR (Master Boot Record) anstelle
des Bootsektors infizieren.
Dateiinfektionsviren: Infizieren Sie Dateien, die ausführbaren Code enthalten, z. B. .EXE- und .COM-Dateien, und
infizieren Sie andere Dateien, wenn sie ausgeführt werden.
Makro: Makroviren infizieren bestimmte Arten von Datendateien. Die meisten Makroviren infizieren Microsoft Office-
Dateien wie Word-Dokumente, Excel-Tabellen, PowerPoint-Präsentationen und Access-Datenbanken. Diese nutzen
typischerweise die Makrosprache Visual Basic, die in Microsoft Office-Anwendungen integriert ist.
Quellcode: Diese Viren fügen Code zum eigentlichen Programmquellcode hinzu.
7.1.2 Wie Viren infizieren
Polymorph: Ein Virus, der seine Virensignatur (dh sein binäres Muster) jedes Mal ändert, wenn er neue Dateien repliziert
und infiziert, um zu verhindern, dass er von einem Antivirenprogramm erkannt wird.
Heimlichkeit: Um einer Entdeckung zu entgehen, übernimmt ein Virus häufig Systemfunktionen, die ihn erkennen
könnten, und nutzt sie, um sich zu verstecken.
Mehrteilig: Mehrteilige Viren teilen die Eigenschaften von mehr als einem Virustyp (diese haben eine doppelte
Persönlichkeit). Beispielsweise könnte ein mehrteiliger Virus sowohl den Boot-Record als auch die Programmdateien
infizieren.
Tarnviren: Viren, die versuchten, für Scanner als harmloses Programm zu erscheinen. (Ältere/veraltete Art von Virus).
7.2 Wie Schadcode in die Computerumgebung eingeschleust werden kann
- Netzwerkangriffe: Versuch, durch Brute-Force-Angriff oder Wörterbuchangriff an den Benutzernamen und das
Passwort zu gelangen. Nach erfolgreicher Ausnutzung wird eine Virendatei oder ein bösartiger Code eingeführt.
- Spoofing (Masquerading): Versenden von E-Mails, die scheinbar von einer Quelle stammen, obwohl sie
tatsächlich von einer anderen Quelle gesendet wurden.
- Änderung von autorisiertem Code und Einführung von Schadcode.
- E-Mail-Spamming oder Bombing: Versenden von E-Mails an Hunderte oder Tausende von Benutzern mit
angehängter Virendatei.
- Active-X: Von Microsoft entwickelte Reihe plattformunabhängiger Technologien, die es Softwarekomponenten
ermöglichen, in einer vernetzten Umgebung miteinander zu interagieren. Diese Funktionalität von Active-X-
Komponenten kann durch bösartigen mobilen Code ausgenutzt werden.
- Mobiler Code: Code, der zur Ausführung von einem System auf ein anderes System übertragen werden kann (z.
B. Java, ActiveX usw.)
- Falltüren: Mechanismus, der oft absichtlich gebaut wird, um einen direkten Zugang zu ermöglichen. Versteckter
Code oder Hardwaregerät, das zur Umgehung von Sicherheitskontrollen verwendet wird.
3
5
7.3 Mechanismen, die zur Verhinderung und Erkennung von Angriffen mit Schadcode
eingesetzt werden können
Im Allgemeinen wird ein Antiviren-Softwareprogramm in Kombination mit Scannen, Integritätsprüfung und Abfangen
verwendet. Sie sollten außerdem Folgendes sicherstellen:
- Verwendung von Antivirensoftware).

- Virendefinitionsdateien auf dem neuesten Stand halten
- Scannen des Netzwerks, des Mainframes, des Servers und der Workstation auf Schwachstellen
- Laden Sie Software nur von vertrauenswürdigen Quellen
- Physische Sicherheit von Wechselmedien
- Häufige Backups erstellen
- Software zur Änderungserkennung (Integritätsprüfer) installieren
- Implementieren Sie ein Benutzer-Sensibilisierungsprogramm
7.3 Häufige Angriffe

Häufige DoS-Angriffe
Pufferüberlaufangriff: Tritt auf, wenn ein Prozess viel mehr Daten empfängt als erwartet. Wenn der Prozess nicht über
eine programmierte Routine verfügt, um mit dieser übermäßigen Datenmenge umzugehen, verhält er sich auf unerwartete
Weise, die der Eindringling ausnutzen kann. Es gibt verschiedene Arten von Pufferüberlaufangriffen, wobei die häufigste
der „ Ping of Death “ (Ping-Angriff mit großen Paketen) oder die Verwendung von mehr als 256 Zeichen langen Benutzer-
oder Dateinamen in E-Mails ist.
SYN-Angriff: Tritt auf, wenn ein Angreifer die Nutzung des Pufferspeichers während eines TCP-Sitzungsinitialisierungs-
Handshakes ausnutzt. Der Angreifer überschwemmt die kleine „In-Process“-Warteschlange des Zielsystems mit
Verbindungsanfragen, antwortet jedoch nicht, wenn ein Zielsystem auf diese Anfragen antwortet. Dies führt zu einer
„Zeitüberschreitung“ des Zielsystems, während es auf die richtige Antwort wartet, was zum Absturz oder zur
Unbrauchbarkeit des Systems führt.
Teardrop-Angriff: Besteht aus der Änderung der Längen- und Fragmentierungsoffsetfelder in sequentiellen IP-Paketen.
Das Zielsystem gerät dann in Verwirrung und stürzt ab, nachdem es widersprüchliche Anweisungen zum Versatz der
Fragmente auf diesen Paketen erhält.
Smurf: Verwendet eine Kombination aus IP-Spoofing und ICMP, um ein Zielnetzwerk mit Datenverkehr zu überlasten
und so einen Denial-of-Service-Angriff zu starten. Es besteht aus drei Elementen – der Quell-Site, der Bounce-Site und der
Ziel-Site. Der Angreifer (die Quellseite) sendet ein gefälschtes PING-Paket an die Broadcast-Adresse eines großen
Netzwerks (die Bounce-Seite). Dieses modifizierte Paket enthält die Adresse der Zielsite. Dies führt dazu, dass die
Bounce-Site die Fehlinformationen an alle Geräte in ihrem lokalen Netzwerk sendet. Alle diese Geräte antworten nun mit
einer Antwort an das Zielsystem, das dann mit diesen Antworten gesättigt ist.
Häufige Session-Hijacking-Angriffe
IP-Spoofing-Angriffe: Dabei handelt es sich um eine Änderung eines Pakets auf TCP-Ebene, die zum Angriff auf mit
dem Internet verbundene Systeme verwendet wird, die verschiedene TCP/IP-Dienste bereitstellen. Der Angreifer sendet
ein Paket mit der IP-Quelladresse eines bekannten, vertrauenswürdigen Hosts, um ein System davon zu überzeugen, dass
es mit einer bekannten Entität kommuniziert, die einem Eindringling Zugriff gewährt. Dieser Zielhost kann das Paket
akzeptieren und darauf reagieren.
Angriffe auf TCP-Sequenznummern: Nutzen Sie die Kommunikationssitzung aus, die zwischen dem Ziel und dem
vertrauenswürdigen Host, der die Sitzung initiiert hat, aufgebaut wurde. Der Eindringling gaukelt dem Ziel vor, dass es mit
einem vertrauenswürdigen Host verbunden ist, und kapert dann die Sitzung, indem er die Wahl einer anfänglichen TCP-
Sequenznummer durch das Ziel vorhersagt. Diese Sitzung wird dann häufig verwendet, um verschiedene Angriffe auf
andere Hosts zu starten.
Andere Fragmentierungsangriffe
IP-Fragmentierungsangriffe nutzen eine unterschiedliche IP-Datagrammfragmentierung, um ihre TCP-Pakete vor den IP-
Filtergeräten eines Ziels zu verschleiern. Im Folgenden finden Sie einige Beispiele für diese Art von Angriffen:
Ein Tiny-Fragment-Angriff liegt vor, wenn der Eindringling ein sehr kleines Fragment sendet, das einen Teil des TCP-
Header-Felds in ein zweites Fragment zwingt. Wenn das Filtergerät des Ziels die Mindestfragmentgröße nicht erzwingt,
kann dieses illegale Paket über das Netzwerk des Ziels weitergeleitet werden.
Ein Angriff mit überlappenden Fragmenten ist eine weitere Variante der Zero-Offset-Modifikation eines Datagramms
3
6
(wie der Teardrop-Angriff). Nachfolgende Pakete überschreiben die Zieladressinformationen des ersten Pakets und dann
wird das zweite Paket durch das Filtergerät des Ziels weitergeleitet. Dies kann passieren, wenn das Filtergerät des Ziels
keinen minimalen Fragment-Offset für Fragmente mit Offsets ungleich Null erzwingt.
Verweise
International Information Systems Security Certification Consortium ( www.isc2.org )
Die CISSP- und SSCP-Open-Study-Guide-Website ( www.cccure.org )
CERT-Koordinierungszentrum ( www.cert.org )
NIST CSRC ( www.csrc.nist.gov )
Google ( www.google.com )
Tom Sheldons Linktionary.com ( www.linktionary.com )
Online-Computerwörterbuch für Computer-/Internetbegriffe und -definitionen ( www.webopedia.com )
Tutorial zum Computerwissensvirus ( www.cknow.com/vtutor/ )
Kostenloses Online-Wörterbuch und Thesaurus ( http://encyclopedia.thefreedictionary.com/ )
SANS Institute – Computersicherheitsausbildung und Informationssicherheitstraining ( www.sans.org )
Wikipedia ( www.wikipedia.org )
3
7

Notizen SSCP

Uploaded by

Copyright:

Available Formats

Notizen SSCP

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Notizen SSCP

Uploaded by

Copyright:

Available Formats

SSCP-Studiennotizen

Modifizierte Version des ursprünglichen Studienführers von Vijayanand Banahatti

1.1 Identifikation, Authentifizierung, Autorisierung, Buchhaltung

1.3 Zugangskontrollmodelle, Methoden und Implementierung

Art der Richtlinien Beschreibung

Aufteilung Ebene Definition

Hinweis: Das Orange-Buch befasst sich NICHT mit Integrität.

Zentralisierte Zugriffskontrolle: Alle Zugriffskontrollanfragen werden an einen zentralen

1.5 Single Sign-On (SSO)

2.6 Zertifizierung / Akkreditierung / Akzeptanz / Sicherheit

2.8.3 Mehrstufiger sicherer Modus (MLS)

Es ist wichtig, den Änderungskontroll-/Konfigurationsmanagementprozess durchzusetzen . Einige Tools zur

2.11 Rollen und Verantwortlichkeiten

2.12 Struktur und Praktiken

2.14 Planung des Sicherheitsmanagements

2.15 Gemeinsame Entwicklung einer Sicherheitspolitik

3.2.1 Internes und externes Sicherheitsaudit

Audit-Log-Überprüfungen werden durchgeführt, um den Detaillierungsgrad zu überprüfen, der abgedeckt

3.2.5 Methoden zur Sicherheitsüberprüfung

Der Penetrationstest kann auf internen (Gebäudezugangs- oder Intranet-Host-Sicherheitssystem) oder

- Host-Identifizierung – dh Identifizierung offener Ports und laufender Dienste .

Andere Arten von Sicherheitsüberprüfungsmethoden sind War-Dialing (um zu sehen, ob offene

3.2.6 Computergestütztes Audit-Tool (CAAT)

3.2.7 Zentrale Protokollierungsanlage (CLF)

Signaturbasierte Identifizierung von Anomalien

Hinweis: Quantitativ dauert länger und ist komplexer.

4.4.6 Wiederherstellung und Wiederherstellung

Die kryptografischen Systeme

Asymmetrische Verschlüsselungsalgorithmen : Auch bekannt als öffentlicher Schlüssel.

5.1 Symmetrische Verschlüsselungsalgorithmen (S. 333 SSCP)

5.2 Asymmetrische Verschlüsselungsalgorithmen (S. 331 SSCP)

5.3 Symmetrische vs. asymmetrische Systeme

5.5 Link- und Ende-zu-Ende-Verschlüsselung

5.6 Kryptographie für E-Mails

5.7 Internet sicherheit

5.8 PKI (S. 355 SSCP)

5.9 Kryptografische Angriffe

6.2 TCP/IP – Transmission Control Protocol/Internet Protocol

6.6 Übertragungsarten (Ansätze)

Carrier-Sense Multiple Access and Collision Detection (CSMA/CD): Überwacht die

802.3 – LAN-Architektur zur Ausführung von CSMA/CD (Ethernet)

6.11 Firewalls (S. 400 SSCP)

6.12.1 Sicherheitsprotokolle der Netzwerkschicht

6.12.2 Sicherheitsprotokolle der Anwendungsschicht

7.1 Verschiedene Arten von Viren

7.1.2 Wie Viren infizieren

7.2 Wie Schadcode in die Computerumgebung eingeschleust werden kann

- Verwendung von Antivirensoftware).

7.3 Häufige Angriffe

You might also like