Datenschutz und Sicherheit - Grundlagen (mit Windows 7/8 und

Datenschutz und
Sicherheit
Markus Krimm
Grundlagen
1. Ausgabe, Oktober 2013
mit Windows 7/8 und
Internet Explorer 10/11
DSSW8IE11-G
1
Datenschutz und Sicherheit - Grundlagen
1
Umgang mit Daten und Sicherheit
In diesem Kapitel erfahren Sie
D was Informationen, Nachrichten und Daten sind
D warum sensible Daten geschützt werden müssen
D was mit Datensicherheit gewährleistet wird
D die Bedeutung von Datenschutzrichtlinien in der ICT
D die Datenschutzbestimmungen und Anforderung im eigenen Land
Voraussetzungen
D Grundkenntnisse des Betriebssystems
D Erfahrungen im Umgang mit dem Internet
1.1
Was sind Informationen, Nachrichten und Daten?
Nachrichten- und Informationssysteme
Bei allen Systemen, die Nachrichten, Informationen
oder Daten austauschen, wird eine Folge von Zeichen über ein komplexes Netzwerk weitergeleitet.
Dieses Netzwerk kann aus verschiedenen Zwischenknoten bestehen. Dabei wird in jedem Zwischenknoten die Nachricht als Ganzes gespeichert und
nach Freigabe des nächsten Übertragungsabschnittes an den folgenden Zwischenknoten bzw. an die
Empfängereinheit weitergegeben. Die Sicherheit
und der Schutz der übermittelten Nachrichten,
Informationen und Daten sind im digitalen Zeitalter
von höchster Bedeutung.
Definition von Informationen
Unter Informationen versteht man den Inhalt einer Nachricht sowie die Vermittlung von
Wissen. Informationen enthalten keine irrelevanten oder redundanten Teile, wie dies bei
einer Nachricht der Fall ist.
Definition von Nachrichten
Eine Nachricht ist definiert als eine endliche Folge von Zeichen, die der Übermittlung von
Informationen dient. Vorrangig bei der Übertragung von Nachrichten ist die vom Sender
zum Empfänger gerichtete Übermittlung der Information. Sobald eine Nachricht den Empfänger erreicht, hat sie ihre Aufgabe erfüllt. Ob die Nachricht für den Empfänger verwertbare Informationen enthält, ist dabei nicht relevant.
6
© HERDT-Verlag
1
Umgang mit Daten und Sicherheit
Definition von Daten
Daten sind Informationen zum Zweck der Verarbeitung. Dabei werden die entsprechenden
Informationen aus Daten zusammengetragen, beispielsweise aktuelle Wettervorhersagen
und Börsenkurse. Daten können, ebenso wie Signale, in analoger oder digitaler Form vorliegen. Daten lassen sich in digitaler oder analoger Form darstellen. Bei Daten hat man es
vor allem mit Nachrichten zu tun, die nicht durch menschliche Sinne aufgenommen wurden.
Daten werden entsprechenden Systemen (Daten verarbeitende Anlage) zur automatischen
Verarbeitung zugeführt. Bei Daten kann es sich um Buchstaben, Zahlen oder Symbole handeln.
1.2
Grundforderungen an Sicherheit
Der Begriff „Sicherheit“ kann im realen Leben sowie in der Informationstechnologie unterschiedliche Bedeutungen haben. Um klarer einzugrenzen, wie sich ein sicherer Zustand von
einem unsicheren Zustand unterscheidet, gibt es einige Grundforderungen (oder Sicherheitsziele).
Sicherheit in der Informationstechnologie wird nicht ausschließlich durch den Schutz von
Daten und Informationen gewährleistet. Eine weitere wichtige Rolle spielt dabei der physische Schutz einzelner Geräte. Eine Diebstahlsicherung kann beispielsweise durch das
Kensington-Schloss sichergestellt werden. Geräte, die derart gesichert werden, sind mit
einer entsprechenden Öffnung versehen, in die das Schloss eingeführt wird. Das dazugehörige Drahtseil mit Öse wird um eine feste Verankerung geschlungen, wodurch eine
Verbindung zwischen zu schützendem Gerät und Anker hergestellt wird.
Grundforderungen an die Vertraulichkeit
Unter dem Sicherheitsziel der Vertraulichkeit (engl. Confidentiality)
wird verstanden, dass Informationen nur diejenigen erreichen, die
diese Informationen auch besitzen dürfen. Bezogen auf Kommunikation in Netzwerken ist das Sicherheitsziel der Vertraulichkeit vergleichbar mit dem Briefgeheimnis. Wenn Sie eine E-Mail an einen
bestimmten Empfänger absenden, so erwarten Sie, dass auch nur
der von Ihnen bestimmte Empfänger den Inhalt der E-Mail zu lesen
bekommt.
Vertraulichkeit
Das Ziel der Vertraulichkeit beschränkt sich nicht nur auf E-Mails. Jede auf einem Computersystem gespeicherte Information dient einem bestimmten Zweck und in den meisten Fällen
ist es nicht erforderlich oder nicht erwünscht, dass diese Informationen öffentlich zugänglich sind.
In der realen Welt sind Schutzmaßnahmen für Vertraulichkeit z. B. ein Briefumschlag, in den
man seine nicht öffentliche Nachricht steckt, oder eine abgesperrte Tür, die nur den Personen Zugang zu einem Raum gewährt, die den passenden Schlüssel besitzen.
Um Vertraulichkeit zu gewährleisten, können verschiedene Maßnahmen eingesetzt werden:
beispielsweise eine Verschlüsselung von Dateien oder Nachrichten zwischen den Kommunikationspartnern oder eine Zugangskontrolle, die nur bestimmten Personen einen Einblick in
das geschützte Datenmaterial erlaubt, u. a. sogenannte digitale Zertifikate.
© HERDT-Verlag
7
1
Datenschutz und Sicherheit - Grundlagen
Schaffung von Wissen über Vorschriften und Arbeitsvorgänge
Vielerorts wissen Mitarbeiter nicht um die speziellen Vorschriften, die für die IT-Sicherheit
an ihrem Arbeitsplatz gelten. Eine noch so gründlich erarbeitete Sicherheits-Policy kann
vom Mitarbeiter nicht berücksichtigt werden, wenn dieser bei seiner Einarbeitung niemals
von ihrer Existenz unterrichtet worden ist. Besonders verheerend ist es, wenn z. B. der Posten eines Datenschutzbeauftragten oder IT- Sicherheitsbeauftragten intern einem beliebigen Mitarbeiter zugeteilt wird, der nicht über die notwendige Fachkompetenz zur Erfüllung dieser Aufgaben verfügt. Diese Person kann selbst bei bestem Willen aus dem Stand
keine vernünftigen Richtlinien (Policy) entwerfen.
Solange der einzige Mitarbeiter, dem die Policy bekannt ist, der IT-Sicherheitsverantwortliche ist, der sie erstellt hat, kann die Policy auch nicht wirksam sein. Deswegen ist eine Einführung in Vorschriften und Arbeitsvorgänge ein unerlässlicher Bestandteil der Einarbeitung.
Schulen Sie nicht nur das IT-Personal und die IT-Sicherheits-Mitarbeiter, sondern die gesamte Belegschaft. Die Wahrscheinlichkeit, dass ein erfahrener Administrator ein unverlangt
von Unbekannten zugesendetes Attachment öffnet, ist deutlich geringer, als dass ein Mitarbeiter einer Nicht-IT-Abteilung aus Neugier ein derartiges Attachment ausführt.
Da ungeschultes Personal den Großteil der Mitarbeiter und somit die größte Angriffsfläche
für Datenmissbrauch darstellt, sollten alle Mitarbeiter für Sicherheitsprobleme und ihre verschiedenen Erscheinungsformen sensibilisiert werden.
Richtlinien zur Datenaufbewahrung
Eine sichere Datenaufbewahrung und die Informationssicherheit sind in der ISO-Norm
27002 geregelt. Die Einhaltung dieser Richtlinie ist zwar nicht verpflichtend, sie ist aber
international weit verbreitet und entspricht dem Hauptziel der Verfügbarkeit von Daten.
1.3
Rechtliche Aspekte
Gesetzliche Grundlagen der Datensicherheit
Das deutsche und europäische Recht bietet eine Reihe von juristischen Möglichkeiten, der
Sicherheit im Telekommunikationsbereich Rechnung zu tragen. Das sind in Deutschland
insbesondere:
D Strafgesetzbuch 15. Abschnitt - Verletzung des persönlichen Lebens- und Geheimbereichs
§ 202a Ausspähen von Daten
§ 202b Abfangen von Daten
§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
§ 206 Verletzung des Post- oder Fernmeldegeheimnisses
D Strafgesetzbuch 27. Abschnitt - Sachbeschädigung
§ 303a Datenveränderung
§ 303b Computersabotage
D Telekommunikationsgesetz (TKG)
§ 88 Fernmeldegeheimnis
10
© HERDT-Verlag
Umgang mit Daten und Sicherheit
1
Das Signaturgesetz (Gesetz über Rahmenbedingungen für elektronische Signaturen 2001,
SigG) und die Signaturverordnung (SigV) sind weitere rechtliche Mittel, um dem Sicherheitsgedanken zu entsprechen. Die Mitarbeiter, die im Unternehmen verantwortlich für Dienstleistungen im Telekommunikationsbereich sind bzw. diese nutzen, müssen diese gesetzlichen Rahmenbedingungen kennen.
Deutschland hat das sogenannte „Nationale Cyber-Abwehrzentrum“ (NCAZ) mit Wirkung
vom 01.04.2011 zum Datenschutz geschaffen. Das NCAZ soll Informationen sammeln, Defizite bei IT-Lösungen aufzeigen, Angriffsanalysen und Hackerprofile erstellen und auf dieser
Grundlage Empfehlungen für den Cyber-Sicherheitsrat bereitstellen. Der „Nationale CyberSicherheitsrat“ (NCS) wird aufgrund der Empfehlungen die erforderlichen Schutzmaßnahmen und die notwendige Netzpolitik sowohl für Bundeseinrichtungen als auch für die Wirtschaft koordinieren.
Vielfältige Informationen zum Thema Datensicherheit bietet das Bundesamt für Sicherheit
in der Informationstechnik unter den Adressen www.bsi-fuer-buerger.de bzw. www.bsi.de.
1.4
Die Aufgabe des Datenschutzes
Grundrecht auf Schutz personenbezogener Daten
Das Bundesverfassungsgericht hat mit Urteil vom 15. Dezember 1983 zum Volkszählungsgesetz (BverfGE 65,1) grundlegende Aussagen zum Datenschutz getroffen. Danach umfasst
das Grundrecht auf freie Entfaltung der Persönlichkeit (Art. 2 Abs. 1 i. V. m. Art. 1 des
Grundgesetzes) den Schutz des Einzelnen gegen eine unbegrenzte Erhebung, Speicherung,
Weitergabe und Verwendung seiner Daten.
Das Grundrecht gewährleistet die Befugnis, selbst über die Preisgabe und Verwendung
seiner persönlichen Daten zu bestimmen. Dieses Recht bezeichnet das Bundesverfassungsgericht als Recht auf informationelle Selbstbestimmung. Dieses Recht ist jedoch nicht
schrankenlos. Die Gemeinschaftsbezogenheit des Einzelnen erfordert es, dass er Beschränkungen seines Rechts auf informationelle Selbstbestimmung hinnehmen muss. Solche Beschränkungen bedürfen nach den Feststellungen des Gerichts einer gesetzlichen Grundlage,
die die Voraussetzungen und den Umfang dieser Beschränkungen für Bürgerinnen und
Bürger erkennbar macht.
Gefährdungen des Rechts auf informationelle Selbstbestimmung
Überall dort, wo personenbezogene Daten erhoben, verarbeitet oder genutzt werden,
können unter anderem folgende Probleme auftreten:
D Personenbezogene Daten werden unzulässigerweise erhoben.
D Über eine Person werden falsche Daten gespeichert.
D Über eine Person werden zulässigerweise die richtigen Daten gespeichert, diese gelangen jedoch in den Zugriff unberechtigter Dritter.
D Personenbezogene Daten werden falsch ausgewertet.
D Die Daten werden zu einem anderen als zu dem Zweck verarbeitet, zu dem sie erhoben
wurden.
D Personenbezogene Daten werden beliebig vermarktet.
© HERDT-Verlag
11
3
Datenschutz und Sicherheit - Grundlagen
3
Verschlüsselung und Passwortschutz
In diesem Kapitel erfahren Sie
D was unter Kryptografie zu verstehen ist
D welche Verschlüsselungstechniken es gibt
D wie Sie den PC mit Passwörtern schützen
Voraussetzungen
D Grundlagen der Datensicherheit
3.1
Grundlegende Informationen zur Kryptografie
Was ist Kryptografie?
Der Begriff Kryptografie und die verwandten Disziplinen Kryptologie und Kryptoanalyse stammen aus dem Griechischen. „Kryptos“ bedeutet so viel wie „geheim“ oder
„verborgen“. „Grafein“ steht für „schreiben“. Die Endung -analyse stammt von „analysein“,
deutsch „entziffern“. „Logos“ steht für „Sinn“. Somit lassen sich also die drei Disziplinen
wie folgt unterteilen:
D Kryptografie: die Wissenschaft der Geheimschrift
D Kryptoanalyse: die Kunst, Geheimschrift (unbefugt) entziffern zu können, den Code zu
knacken
D Kryptologie: die Wissenschaft, die Kryptografie und Kryptoanalyse miteinander vereint
Ziel der Kryptografie ist es, Nachrichten in eine Art „Geheimschrift“ zu übersetzen und sie
so zum vorgesehenen Empfänger zu schicken. Die für die Nachricht gewählten Zeichen sollen so gewählt sein, dass nur der vorbestimmte Empfänger in der Lage sein sollte, den Inhalt
der Nachricht wieder verständlich zu machen.
Die Verwendung von geheimen Zeichen ist für die Kryptografie nicht notwendig und auch
nicht sinnvoll. Die Zeichen des Klartextes sind dieselben wie die des Chiffretextes. Bei
den historischen Verschlüsselungsverfahren wurden die Zeichen des Alphabetes verwendet,
bei den modernen, computergestützten Verfahren werden binäre Zustände (meist Bytes
oder Blöcke aus mehreren Bytes) eingesetzt.
Informationen und Schlüssel
Das Grundproblem der Kryptografie ist, eine Nachricht zu verschlüsseln, sodass deren Inhalt
während des Transports vor Unbefugten geschützt ist. Dies erfordert aber, dass der rechtmäßige Empfänger in der Lage sein muss, die Verschlüsselung wieder rückgängig zu
machen.
Damit dies möglich ist, benötigt der Empfänger eine Zusatzinformation - einen Schlüssel.
Ein ideales Verschlüsselungsverfahren ist so sicher, dass es nur mithilfe des passenden
Schlüssels möglich ist, an den Inhalt der Nachricht zu kommen.
24
© HERDT-Verlag
6
Datenschutz und Sicherheit - Grundlagen
6
Schadsoftware
In diesem Kapitel erfahren Sie
D welche Gefahren es im Internet gibt
Voraussetzungen
D Erfahrungen im Umgang mit dem Internet
D Grundlagen der Datensicherheit
6.1
Grundlagen der Internetsicherheit
Gefahren aus dem Internet
Wird ein Rechner an das Internet angeschlossen, können Sie Dienste nutzen, die andere
Rechner zur Verfügung stellen. Gegebenenfalls haben aber auch andere Benutzer des
Internets oder staatliche Überwachungs- und Spionageprogramme die Möglichkeit, Dienste
auf Ihrem Rechner anzusprechen oder sogar Daten aus Ihrem Firmennetzwerk zu nutzen
bzw. zu entwenden. Das kann unter Umständen bedeuten, dass schädliche Programme,
sogenannte Malware (aus dem Englischen malicious für bösartig und software), in Ihr
System gelangt.
Gefahr
Beschreibung
Spyware
(SpionageSoftware)
Als Spyware (engl. spy = Spion) wird jede Software bezeichnet, die ohne
das Wissen und das Einverständnis des Benutzers Daten an Dritte übermittelt. Häufig gelangt bei der Installation von Free-, Shareware oder
Raubkopien Spyware heimlich auf das System des Benutzers.
Meist dienen Spyware-Programme dazu, Informationen über das Surfverhalten des Nutzers an den Hersteller des Programms bzw. an Dritte zu
übermitteln. Oft werden die Daten genutzt, um Werbebanner bzw.
Popups bei Benutzern einzublenden, die speziell an deren Interessen
angepasst sind.
54
Jugendgefährdende
Inhalte
Manche Webseiten stellen Inhalte dar, die unerwünscht bzw. für junge
Internetbenutzer ungeeignet sind, z. B. Pornografie, rechts- bzw. linksextremistische Inhalte oder Gewaltdarstellungen.
InternetMobbing
Internet-Mobbing oder Cyber-Bullying bezeichnet das Verbreiten von
Bosheiten bzw. falschen Behauptungen, um ein Opfer zu erniedrigen.
Die Täter bleiben meist anonym und nutzen die Möglichkeiten des Internets (z. B. E-Mails, Chatrooms) für ihre Verleumdungskampagnen.
Betrug
Inhalte auf Webseiten können manipuliert sein, um von Ihnen eingegebene Daten „abzuhören“. Ein Beispiel hierfür sind sogenannte PhishingWebseiten.
Scareware
Durch die Verbreitung von Scareware wird versucht, Computerbenutzer
zu verunsichern und einzuschüchtern. Diese sind meistens dazu bereit,
für die Bereinigung von vermeintlich vorliegenden Gefahren für den
Computer zu bezahlen.
© HERDT-Verlag
6
Schadsoftware
Gefahr
Beschreibung
Trojaner
(trojanisches
Pferd)
Programme, die dem Benutzer eine nützliche Funktion anbieten, aber
bei Aufruf schädliche Funktionen im Hintergrund durchführen. Nach der
Installation versuchen die meisten Trojaner, Benutzerdaten an bestimmte Adressen im Internet zu versenden. Trojaner installieren häufig auch
zusätzliche Malware-Programme, beispielsweise
D sogenannte Backdoor-Programme, mit denen der betroffene Com-
D
puter ferngesteuert genutzt werden kann, z. B. um massenhaft
Spam-Mails (vom Empfänger nicht gewünschte E-Mails) zu versenden;
sogenannte Keylogger, die Tastatureingaben (z. B. die Eingabe von
Kennwörtern) mitverfolgen und über das Internet an einen Empfänger senden.
Rootkit
Ein Rootkit ersetzt wichtige Module des Betriebssystems des Rechners
durch manipulierte Komponenten. Die Betriebssystem-Funktionen des
Rootkits werden so verändert, dass der Rechner weiterhin seine gewohnte Arbeit ausführt. Allerdings werden sämtliche Prozesse und Aktivitäten, die auf den Hacker zurückzuführen sind, verborgen.
Keystroke
Logging
Software- oder Hardware-Keylogger überwachen und protokollieren
jede Eingabe (Tastaturanschlag) des Benutzers an einem Computer und
übermitteln diese. Mit dieser Technik können Hacker auf persönliche
Zugangsdaten zugreifen.
Neben den oben erläuterten Malware-Varianten besteht bei Internetnutzern, die über eine
Modem- bzw. ISDN-Verbindung auf das Internet zugreifen, eine Gefährdung durch illegale
Dialer (Wählprogramme). Diese Programme richten ohne Wissen bzw. Zustimmung des
Betroffenen eine neue DFÜ-Verbindung ein und wählen sich anschließend über teure Rufnummern ins Internet ein.
6.2
Grundkonzepte von Viren
Geschichtlicher Rückblick
Seit Längerem ist die Tendenz zu beobachten, dass einfach gebaute Viren ohne komplette
Verbreitungsmechanismen verteilt werden. Diese Klasse von Viren verschickt sich einfach
per E-Mail an ihre Opfer und erreicht trotz des geringeren Programmieraufwandes erstaunliche Verbreitungsquoten.
Ein Großteil der heute kursierenden Computerviren und Würmer wurde von organisierten
Kriminellen zu dem Zweck programmiert, die infizierten Computer in eine fernsteuerbare
„Zombie-Armee“, ein sogenanntes Botnetz, zu verwandeln.
Hunderttausende derart infizierter Rechner warten so auf Befehle des Master-Computers
und stehen unter der Kontrolle der Viren- und Wurmautoren. Mithilfe dieser ferngesteuerten Rechner lässt sich dann leicht ein Hackerangriff durchführen oder - was der kommerzielle Hauptzweck dieser Netze zu sein scheint - Spam versenden.
Da sich mit dem Versand von Spam viel Geld verdienen lässt, ist es bei den Autoren derartiger Schadprogramme Praxis, die gekaperten Botnetze ganz oder teilweise an SpamVersender zu vermieten. Diese können ihre unerwünschten Werbebotschaften dann an
Millionen versenden, ohne dabei eigene Computerressourcen aufwenden zu müssen.
Unter www.botfrei.de haben Sie Zugang zu einer Auswahl an kostenlosen Botnet-Scannern,
die das Bundesamt für Sicherheit in der Informationstechnik zur Verfügung stellt.
© HERDT-Verlag
55