Transcript Stephan Eichner

Dozent: Stephan Eichner
Datenschutz und Datensicherheit
•Grundlagen des Datenschutzes
•Die Umsetzung des Datenschutzes im Betrieb
---•Maßnahmen zur Sicherheit der EDV-Anlage
•Maßnahmen zum Schutz vor Angriffen über Netzwerke
•Maßnahmen zum Schutz vor Schadprogrammen
Dozent: Stephan Eichner
Die Notwendigkeit von Datenschutzmaßnahmen
•
•
•
•
Durch EDV Systeme werden personenbezogene Daten gespeichert,
verarbeitet, übertragen und gesichert!
Der Staat - > Erfüllung seiner Vielfältigen Aufgaben
Firmen -> Kundenbezogene Daten und Mitarbeiter
Personenbezogenen Daten sind Einzelangaben über persönliche und
sachliche Verhältnisse einer bestimmten natürlichen Person. Dazu zählen
z.B. das Alter Einkommen und Vermögen und vieles mehr!
Da mit Hilfe von modernen EDV und Kommunikationssystemen große
Bestände an personenbezogenen Daten zusammengeführt, abgeglichen
und nach beliebigen Kriterien ausgewertet kann, muss es regeln für die
Erhebung und Verarbeitung personenbezogener Daten geben!
Ziel ist es, den Umgang mit den personenbezogenen Daten jedes
Menschen gesetzlich zu regeln und diese Daten vor Missbrauch zu
schützen. Der Datenschutz dient in erster Hinsicht dem Schutz der
Persönlichkeit und nicht dem Schutz der Daten.
Dozent: Stephan Eichner
Gesetzliche Grundlagen
•
Die wichtigsten Prinzipien des Datenschutzes sind im
Bundesdatenschutzgesetz (BDSG) und im Landesdatenschutzgesetz
(LDSG) festgelegt!
•
Dazu zählen unter anderem:
- die Abgabenverordnung
- das Betriebsverfassungsgesetz
- das Bundesverfassungsschutzgesetz
- das Einkommensteuergesetz
- das Informationsfreiheitsgesetz
- das Sozialgesetzbuch
- Das Teledienstgesetz und das Teledienstdatenschutzgesetz
Dozent: Stephan Eichner
Datenschutzprinzipien
•
•
•
•
Prinzipiell dürfen Daten nur gespeichert werden, wenn eine Einwilligung des
betroffenen erteilt wurde, wenn es aufgrund eines Vertragsverhältnisses notwenig ist
oder wenn es durch gesetzliche Vorschriften legitimiert ist.
Die Zulässigkeit einer Datenerhebung muss in jedem Fall vor der eigentlichen
Erfassung geklärt werden.
Im BDSG ist das Prinzip der Datensparsamkeit verankert. Die Datenerhebung darf
immer nur im erforderlichen Umfang erfolgen. Das sind bei öffentlichen Stellen die
Daten, die für die Erfüllung der gesetzlichen Aufgaben notwendig sind. Im Bereich der
Wirtschaft werden personenbezogene Daten für die Erfüllung eigener
Geschäftszwecke verwendet. Dazu zählen vor allem Kunden – und Personendaten.
Ein weiteres wichtiges Prinzip ist Zweckbindung der Daten. Die Speicherung und
Verarbeitung personenbezogener Daten ist prinzipiell nur für eng begrenzte Aufgaben
gestattet. Im Ausnahmefall kann von der Zweckbindung abgewichen werden, wenn
eine Rechtsvorschrift dies vorsieht, wenn der Betroffene eingewilligt hat, wenn der
Staat Straftaten verfolgt oder wenn öffentliche Stellen Angaben überprüfen müssen.
Der Zweckbindungsgrundsatz gilt für öffentliche und nichtöffentliche Stellen.
Dozent: Stephan Eichner
Die Rechte des Betroffenen
Betroffene deren Daten erhoben bzw. gespeichert werden haben folgende
Rechte:
•
•
•
•
•
•
•
Das Auskunftsrecht
Das Widerspruchsrecht
Das Recht auf Löschung
Das Recht auf Berichtigung
Das Recht auf Sperrung
Das Recht auf Geheimhaltung und
Das Recht auf Benachrichtigung
Dozent: Stephan Eichner
• A Allgemeine und frei zugängliche Daten, in die Daten, Einsicht
gewährt wird, z.B. Adressbücher, Telefonlisten und MAVerzeichnisse
• B Organisationsbezogene Daten, an deren Vertrauliche
Handhabung ein berechtigtes Interesse der Betroffenen gebunden
ist, z.B. Verteilerschlüssel, Organigramme und stellenbezogene
Informationen.
• C Personenbezogene Daten, deren Missbrauch das Ansehenden
Betroffenen empfindlich berührt, das sind z.B. Daten des
Melderegisters, Daten über Ordnungswidrigkeiten, Daten zur
persönlichen Überzeugungen sowie Leistungen, Beurteilungen und
Prüfungsergebnisse.
• D Personenbezogene Daten, deren Missbrauch die wirtschaftliche
Existenz und gesellschaftliche Stellung des Betroffenen berührt,
dazu zählen alle Angaben zum Einkommen und Vermögen, zu
Steuern und Abgaben oder auch zu Lohnpfändungen und
Unterhaltszahlungen.
Dozent: Stephan Eichner
Datenschutzkontrollbehörden
•
•
Datenschutz im öffentlichen Dienst – durch den
Bundesdatenschutzbeauftragten und Landesdatenschutzbeauftragten.
Datenschutz im privatwirtschaftlichen – sind die Bundesländer zuständig.
In den meisten Bundesländern gibt es Datenschutzbehörden au der Ebene
der Regierungsbezirke.
Betroffene haben das Recht sich auf den Bundesbeauftragten für den
Datenschutz oder an den zuständigen Landesbeauftragten für den
Datenschutz zu wenden. Die Datenschutzbehörden bieten auch Beratung,
Informationsmaterial, Musterverträge, und Gesetze zum Datenschutz an.
Dozent: Stephan Eichner
Die Umsetzung des Datenschutzes im Betrieb
•
•
•
In einem normalen privaten Unternehmen, das keine Daten im Auftrag von
Kunden bearbeitet werden Daten wie vor in die Datenschutzklassen
eingeteilt!
Bei Polizei, Feuerwehr und Sicherheitsbehörden gibt es noch eine weitere
Schutzklasse, in die alle Daten eingeordnet werden müssen die Bedeutung
für Leben und Existenz der Betroffenen besitzen! (z.B. Krankenhaus
Blutgruppe, Unverträglichkeiten usw.)
Das Bundesdatenschutzgesetz stuft weitere Daten als Schutzwürdig ein,
die in einem Betrieb normalerweise nicht erfasst werden. Dazu zählen
Daten der Herkunft eines Menschen, zu Meinungsäußerungen und
persönlichen Überzeugungen, zur Mitgliedschaften in Parteien und
Organisationen sowie zu evtl. Vorstrafen.
Dozent: Stephan Eichner
Die Handhabung der Daten
•
•
•
Die MA eines Betriebes müssen der Erfassung, Speicherung und
Verarbeitung ihrer Daten zustimmen. Dies tun sie in der Regel beim
Abschluss ihres Arbeitsvertrages. Auf die Rechte des Betroffenen auf
Auskunft, Berichtigung, Löschung oder Sperrung können die MA nicht
verzichten.
Alle Personaldaten müssen vor dem Zugriff unbefugter Personen und vor
Missbrauch geschützt werden. Der Personenkreis mit Zugriff auf
Personaldaten muss eng begrenzt sein. Die MA dürfen ihre eigenen Daten
einsehen und sollten in regelmäßigen Abständen über den Umfang der
Datenspeicherung informiert werden. Das kann in Betriebsvereinbarungen
geregelt werden.
Die MA einer Personalabteilung oder einer Lohnbuchhaltung dürfen de
Daten der von Ihnen betreuten MA einsehen, bearbeiten und ggf. sperren
und löschen. Die Vorgesetzten dürfen nur diejenigen Daten einsehen, die
sie für die Erfüllung ihrer Aufgaben brauchen. Der Betrieb muss durch
geeignete Maßnahmen sicherstellen, dass diese Anforderungen erfüllt sind.
Dozent: Stephan Eichner
…
•
Alle MA, die mit externen oder internen personenbezogenen Daten
umgehen, ist es untersagt, personenbezogene Daten unbefugt zu erheben,
zu verarbeiten oder zu nutzen. Diese MA werden auf das Datengeheimnis
verpflichtet. Das Datengeheimnis besteht auch nach ihrer Tätigkeit fort, also
auch nach Beendigung eines Arbeitsverhältnisses.
Dozent: Stephan Eichner
Mitbestimmung
•
•
Einführung und Nutzung von IT - Systemen zur Verarbeitung von
Personaldaten sind mitbestimmungspflichtig. Im Zusammenhang mit der
betrieblichen Mitbestimmung steht das Recht des MA, seine Personaldaten
einzusehen und dabei ggf. einen Vertreter des Betriebsrats hinzuzuziehen.
Zu den Personaldaten gehören auch Personalfragebögen und
Beurteilungsbögen. Diese Formulare können auf dem Papier oder am PC
ausgefüllt werden. Die erhobenen Daten werden heute meist in
Datenbanken gespeichert und durch spezielle Programme ausgewertet
(z.B. SAP / HR) . Die Aufbereitung dieser Daten mit Hilfe der EDV
ermöglicht hohen Grad an Transparenz.
Dozent: Stephan Eichner
Die Datenschutzbeauftragten
•
•
Die Datenschutzbeauftragten kontrollieren in Betrieben, Organisationen
oder Behörden die Einhaltung des Bundesdatenschutzgesetzes sowie
anderer Datenschutzvorschriften. Sie sind in Fragen des Datenschutzes
wichtige Ansprechpartner für die Betroffenen und auch für die beschäftigten
im Unternehmen.
Ein Datenschutzbeauftragter muss eingesetzt werden, wenn im Betrieb
mehr als vier MA regelmäßig damit beschäftigt sind, personenbezogene
Daten mit automatisierten Verfahren zu erheben, zu verarbeiten und zu
nutzen (oder wenn mehr als zwanzig MA auf herkömmliche Weise Daten
erheben, verarbeiten und nutzen). Zu diesem Personenkreis gehören z.B.
MA der Personalabteilung und der Lohnbuchhaltung sowie aller MA, die mit
externen personenbezogenen Daten umgehen.
Dozent: Stephan Eichner
…
•
Der Datenschutzbeauftragte muss die erforderliche Fachkunde und
Zuverlässigkeit besitzen. Er ist gegenüber der Geschäftsführung in allen
Datenschutzfragen berichtspflichtig, er hat in Datenschutzfragen ein
Vortragsrecht und ist in Ausübung seiner Fachkunde weisungsfrei. Der
Datenschutzbeauftrage unterliegt einer Verschwiegenheitspflicht bezüglich
aller Daten, die Ihm in Folge seiner Tätigkeit zugänglich sind. Das betrifft
besonders die Identität der Betroffenen und alle Umstände, die
Rückschlüsse auf die Betroffenen zulassen.
Dozent: Stephan Eichner
Die Aufgaben des Datenschutzbeauftragten (§§4f u 4g BDSG)
•
•
•
1. Vertretung der Datenschutzbelange in der Firma:
(a) Vertretung der Firma bei Kontrollen durch den Datenschutzaufsichtsbehörden
(b) Beratung der Geschäftsführung zu den einschlägigen und relevanten
Rechtsvorschriften
(c) Schulung der MA, die personenbezogene Daten verarbeiten, zu den besonderen
Anforderungen des Datenschutzes
(d) Führung des Verfahrensverzeichnisses
(e) Durchführung der Vorabkontrolle der automatisierten Verarbeitung von
Personendaten (§4d Absatz 5/6)
(f) Prüfung der Zulässigkeit der Erhebung, Speicherung, Übermittlung, Sperrung und
Löschung von Daten
(g) Prüfung der Benachrichtungspflichten und Auskunftspflichten
2. Klärung datenschutzrechtlicher Problemstellungen mit dem Einverständnis der Fa.
u in anonymisierter Form
3. Information der Geschäftsleitung über Änderungen des BDSG und anderer
Gesetze, neue EU-Richtlinien und die Rechtsprechung zu datenschutzrechtlich
relevanten Themen
Dozent: Stephan Eichner
Verfahrensverzeichnisse
•
•
In Betrieben und öffentlichen Stellen mit einem sehr hohen Aufkommen an
personenbezogener Datenverarbeitung müssen bestimmte Verfahren und Vorgänge
automatisiert werden.
Diese Verfahren müssen gegenüber den Datenschutzbehörden in einem
Verfahrensverzeichnis eindeutig und identifizierbar dokumentiert werden. Dabei sind
folgende Punkte zu anzugeben:
- Bezeichnung des Verfahrens, Zweckbestimmung, und Rechtsgrundlage
- Beschreibung der Personengruppe, deren Daten verarbeitet werden
- Art und Umfang der gespeicherten Daten zu einer Person
- bei Auftragsdatenverarbeitung: der Empfänger bzw. Auftraggeber
- Zugriffsrechte auf die Daten innerhalb der Daten verarbeitenden Stelle
- Fristen der Aufbewahrung bzw. Zeitdauer bis zur Löschung der Daten
- technische und organisatorische Maßnahmen nach §9 BDSG (u Anhang)
- die eingesetzte Hard- u Software und das Datenbankmodell
Die Verfahrensverzeichnisse dienen der Eigenkontrolle im Betrieb, der Kontrolle
durch die Datenschutzbehörden und der Information der Betroffenen. Ein guter
Überblick über die EDV-Verfahren ist generell auch für andere
Datenverarbeitungsvorgänge wichtig.
Dozent: Stephan Eichner
Grundregeln zum Datenschutz (Anlage zu §9 Satz 1 des BDSG)
• Werden personenbezogene Daten automatisiert verarbeitet oder
genutzt, ist die innerbehördliche oder innerbetriebliche Organisation
so zu gestalten, dass sie den besonderen Anforderungen des
Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen
zu treffen, die je nach der Art der zu schützenden
personenbezogenen Daten oder Datenkategorien geeignet sind,
• Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen
personenbezogene Daten verarbeitet oder genutzt werden, zu
verwehren (Zutrittskontrolle),
• zu verhindern, dass Datenverarbeitungssysteme von Unbefugten
genutzt werden können (Zugangskontrolle),
• zu gewährleisten, dass die zur Benutzung eines
Datenverarbeitungssystems Berechtigten ausschließlich auf die
ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können,
und dass personenbezogene Daten bei der Verarbeitung, Nutzung
und nach der Speicherung nicht unbefugt gelesen, kopiert,
verändert oder entfernt werden können (Zugriffskontrolle),
Dozent: Stephan Eichner
…
• zu gewährleisten, dass personenbezogene Daten bei der
elektronischen Übertragung oder während ihres Transports oder
ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert,
verändert oder entfernt werden können, und dass überprüft und
festgestellt werden kann, an welche Stellen eine Übermittlung
personenbezogener Daten durch Einrichtungen zur
Datenübertragung vorgesehen ist (Weitergabekontrolle),
• zu gewährleisten, dass nachträglich überprüft und festgestellt
werden kann, ob und von wem personenbezogene Daten in
Datenverarbeitungssysteme eingegeben, verändert oder entfernt
worden sind (Eingabekontrolle),
• zu gewährleisten, dass personenbezogene Daten, die im Auftrag
verarbeitet werden, nur entsprechend den Weisungen des
Auftraggebers verarbeitet werden können (Auftragskontrolle),
• zu gewährleisten, dass personenbezogene Daten gegen zufällige
Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
• zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene
Daten getrennt verarbeitet werden können.
Dozent: Stephan Eichner
15 Min
PAUSE
Dozent: Stephan Eichner
Anforderungen
• Verfügbarkeit
Damit Mitarbeiter immer Zugang zu ihren Daten haben
muss gewährleistet sein, dass Server, Netzwerke,
Datenkommunikationsleitungen sowie eine sichere Stromversorgung immer
vorhanden ist!
Andernfalls können Daten unzugänglich sein!
Dozent: Stephan Eichner
Anforderungen
• Datenintegrität
Hierbei geht es um die Sicherstellung dass Daten immer den realen Daten
entsprechen, also nicht durch äußere Einflüsse verändert oder verfälscht
werden! Sollte es dennoch vorkommen, so muss gewährleistet werden, das
falsche oder fehlende Daten von Sicherungen wiederhergestellt werden
können! Damit eng verbunden ist auch die Authentizität der Daten und
Dokumente!
Dozent: Stephan Eichner
Anforderungen
• Datenschutz und Vertraulichkeit
Daten dürfen nur von Personen oder Gruppen verarbeitet werden, die dazu
berechtigt sind. Für das Lesen, Schreiben, Verändern, Erzeugen, und
Löschen von Daten muss es eine strikte Kontrolle der Berechtigungen
geben. (z.B. Zugriffsberechtigungen auf das Postfach eines Kollegen) Die
Beachtung des Datenschutzes wird aufgrund gesetzlicher Grundlagen
gefordert. Die Vertraulichkeit wichtiger Unterlagen ist für die
Konkurrenzfähigkeit des Unternehmens von großer Bedeutung!
Z.B ein Mitarbeiter hat unberechtigten Zugriff auf firmeninterne Daten ->
Mögliche Folge: Datenspionage!!!
Dozent: Stephan Eichner
Einteilung der Maßnahmen
• Menschliche Bedrohung
Durch Fehler, Fahrlässigkeit (z.B. ungesicherter Arbeitsplatz beim
verlassen), kriminelle Energien, mangelndes Sicherheitsbewusstsein oder
Bequemlichkeit (vergessene Schlüsseldiskette) -> Gefahr für Daten,
Programme und Technik!
• Technische Bedrohung
Durch Stromausfall, Überspannung, Hardwaredefekte, Ausfall von Bauteilen
oder Versagen von Software können Daten vernichtet oder geschädigt
werden!
• Bedrohung durch Umwelteinflüsse
z.B. Feuer, Explosion, Erdbeben, Staub, Hitze, Flüssigkeiten, Strahlung und
Blitzschlag
Dozent: Stephan Eichner
Organisatorische Maßnahmen
Verbesserung von Datensicherheit schon bei der Auswahl der MA!
Personalabteilung -> achtet auf Zuverlässigkeit schon bei der Einstellung!
Datensicherheit als Teil des Arbeitsvertrages!
Was im Arbeitsvertrag stehen sollte:
- ein Verbot, Software ohne ausdrückliche Zustimmung des Arbeitgebers beziehungsweise der ITAbteilung zu installieren;
- ein Verbot, unsichere E-Mail-Attachements zu öffnen;
- die Anweisung, Passwörter oder Zugangsdaten stets geheim zu halten und unter keinen Umständen
per Telefon oder E-Mail mitzuteilen;
- die Verpflichtung, bestehende Sicherheitsrichtlinien einzuhalten.
Was problematisch ist:
- Vertragsstrafen können in Arbeitsverträgen nur begrenzt vereinbart werden;
- Schadensersatz ist schwierig zu beziffern und gegenüber Arbeitnehmern schwierig durchzusetzen.
Passwörter müssen in bestimmten Abständen aus Sicherheitsgründen
geändert werden! (Steuerung über Richtlinie AD)
Dozent: Stephan Eichner
Organisatorische Maßnahmen
•Aufklärung, Belehrung und Schulung der Mitarbeiter
•Prüfung jeder Soft – und Hardware bei Lieferung
•Erstellen von Ersatzdatenträgern mit Virenschutzsoftware
•Meldepflicht und Festlegung von Verhaltensweisen bei Virenbefall
•Verbot des Einsatzes privater Datenträger auf Firmenrechnern
•Verbot des Einsatzes aller Software, die nicht der Arbeit dient (z.B Spiele)
Dozent: Stephan Eichner
Bauliche und Technische Maßnahmen
• Wichtige Server:
- müssen gegen Zutritt unbefugter Abgesichert werden
- dürfen keine offenen Konsolen besitzen
- dürfen keine ungesicherten Schnittstellen aufweisen
(für USB-Sticks -> Datenklau)
- dürfen durch unbefugte nicht neu gebootet werden können (Hacker-CDs)
Zu den Technischen Maßnahmen gehören: Zutrittskontrolle über spezielle
Schließanlage oder Biometrie, evtl. Panzerschrank
(Lampertz), eine funktionierende und unabhängige
Stromversorgung, Überspannungsschutz und evtl.
Alarm bzw. Überwachungsanlagen! Hierzu kommen
Klimaanlagen in Serverräumen (Hitzeentwicklung)
bzw. Feuerlösch- und Brandschutzvorkehrungen.
Dozent: Stephan Eichner
Maßnahmen zum Schutz der Zugangsberechtigung
• Benutzer und Benutzerrechte
zu jedem Benutzernamen gehört ein Passwort und den dazu Rechten wo
und wie der User zugreifen darf! Mit dem so genannten Benutzerkonto
können folgende Dinge festgelegt werden:
- Rechenzeiten (wann und wie lange der User sich anmelden darf)
- Größe des Profilspeicherplatzes
- Gruppenzugehörigkeit (z.B Administrator, Vetrieb, Personalabteilung usw.)
- nur mit speziellen Rechten ist es möglich Software installieren zu dürfen
oder Systemeinstellungen zu verändern, der normale User kann dies nicht!
Dozent: Stephan Eichner
Passwörter
- Der Verwendungszweck bestimmt die Komplexität! (z.B das
Administratorkennwort sollte möglichst komplex sein und aus Groß/Klein und
Buchstaben/Zahlenkombination bestehen und mindestens 6-8 Zeichen lang)
- Die Verwendbarkeit steht jedoch für den normalen User im Vordergrund, so
sollte die Varianz bei der Vergabe der zu verwendenden Zeichen nicht zu
komplex sein, da sich der Mitarbeiter sonst ständig vertippen und somit eine
Sperrung seiner Benutzerkennung auslösen würde!
Ungünstige Passwörter:
Hierzu zählt man die leichtesten Passwörter, also Wörter die einen Sinn ergeben.
•123456 / passwort / God oder Gott
•Eigennamen - da diese häufig in Wörterbüchern zu finden sind, wird ein
Wörterbuchangriff ermöglicht (Bruteforce-Attack)
•Triviale Tastaturzeichenfolgen (1qay2wsx, asdf, qwert...)
•Vokale oder Selbstlaute (aeiou)
•Generell sollte man Passwörter verwenden, die keine eindeutige Folge haben. Hierbei
können Programme helfen, die Passwörter erstellen.
•Einmalige PW sollten auf keinen Fall weiterverwendet werden
Dozent: Stephan Eichner
Maßnahmen zum Schutz über Netzwerke
• Mögliche Angriffe über Netzwerke:
- Da Kommunikationsnetze immer aus einer (großen) Menge von
Systemen bestehen, werden sehr oft genau diese Systeme über das
Kommunikationsnetz angegriffen. Hierbei zielen viele Angriffe auf
Schwächen in Software(-implementierungen)!
- Die Überlastung von Diensten wird als DoS-Angriffe bezeichnet.
Besonders verteilte DoS-Angriffe werden auch als DDoS-Angriffe
bezeichnet. Sehr effektiv sind Angriffe, die mit nur einem Paket
auskommen, wie z. B. der TCP-SYN-Angriff, da hierbei die
Absenderadresse und somit die Herkunft gefälscht werden kann.
Fragmentierung von Paketen, vor allem bei überlappenden
Fragmenten, kann genutzt werden um Angriffe vor Angriffserkenner
zu verstecken
- Spoofing – das Fälschen von meist Absendeadressen zum
Verschleiern der Herkunft von Paketen
Dozent: Stephan Eichner
…
•
•
•
•
•
•
•
•
Social Engineering wird die Vorgehensweise genannt, eine Person dazu zu
bringen, ein Passwort oder einen Schlüssel zu verraten.
Passwörter können erlangt werden, um Zugang zu Diensten zu erlangen.
Geschieht dies durch Ausprobieren aller Möglichkeiten spricht man von
einer Brute-Force-Attacke.
Mangelhafte Installationen können einen Angriff mit Standard-Passwörtern
erfolgreich machen.
Aus der Außenwelt kommende Daten werden nicht auf ihre Validät
überprüft, sondern als "korrekt" hingenommen (Tainted Data oder CrossSite Scripting und SQL Injection).
Überflutung mit sinnlosen oder nicht angeforderten E-Mails wird als UBE
("unsolicited bulk e-mail") und insbesondere wenn ein Werbung vorliegt als
UCE ("unsolicited commercial e-mail") bezeichnet.
Würmer, Trojanische Pferde, Dialer oder Viren darstellen.
Leichtgläubigkeit und die leichte technische Möglichkeit zum Vorspiegeln
falscher Webseiten können durch Phishing ausgenutzt werden.
Leichtgläubigkeit lässt Anwender auch unbekannte Programme ausführen,
die per Mail versandt wurden.
Dozent: Stephan Eichner
Schutzmaßnahmen
•
Firewall
Eine Application-Layer-Firewall beachtet zusätzlich zu den reinen
Verkehrsdaten wie Quelle, Ziel und Dienst noch den Inhalt der
Netzwerkpakete (Schicht 7 / Applikationsschicht des ISO-OSI-Modell).
Dozent: Stephan Eichner
…
•
•
•
•
•
•
•
Content-Filter
Eine Firewall kann mit Hilfe eines Inhalts- oder Content-Filters die
Nutzdaten einer Verbindung auswerten. Einsatzgebiete können zum
Beispiel sein:
Herausfiltern von ActiveX und/oder JavaScript aus angeforderten
Webseiten
Blockieren von Viren oder Trojanern in Webseiten
Filtern von vertraulichen Firmeninformationen (z. B. Bilanzdaten)
Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern
unerwünschte Anwendungsprotokolle (zum Beispiel Filesharing) blockieren
Dozent: Stephan Eichner
…
•Proxy
Der Proxy kann gestellte Anfragen bzw. deren Ergebnis speichern. Wird die
gleiche Anfrage erneut gestellt, kann diese aus dem Speicher beantwortet
werden, ohne zuerst den Webserver zu fragen. Der Proxy stellt sicher, dass die
von ihm ausgelieferten Informationen nicht allzu veraltet sind. Eine vollständige
Aktualität wird in der Regel nicht gewährleistet. Durch das Zwischenspeichern
können Anfragen schneller beantwortet werden und es wird gleichzeitig die
Netzlast verringert. Beispielsweise vermittelt ein Proxy-Server einer Firma den
gesamten Datenverkehr der Computer der Mitarbeiter mit dem Internet.
Filter
Mittels Proxy-Server können beispielsweise bestimmte Kategorien von
Webseiten für den Benutzer gesperrt oder Zugriffe darauf protokolliert werden.
Es kann auch der Inhalt auf schädliche Programme durchsucht werden. Somit
ist ein Proxy meist Teil eines Firewall-Konzepts
Dozent: Stephan Eichner
Anforderung an Firewall und Proxy
•Schutz des Netzwerks
•Kontrolle des Internetzugriffs
•Schutz der vertraulichen Unternehmensdaten
Allerdings bieten beide Systeme nur dann den gewünschten Schutz, wenn
folgende Punkte erfüllt sind:
•Die Verbindungen nach draußen dürfen nicht übergangen werden können
•Es darf außer dem Admin niemand diese Systeme konfigurieren können
•Sowohl das System als auch der Betreuer muss immer auf dem neuesten
Stand sein (durch Updates und Patches)
•Das System darf die Arbeit nicht behindern (Scannvorgange dauern zu lange
etc.)
Dozent: Stephan Eichner
Maßnahmen zum Schutz vor Schadprogrammen
•
•
•
Computerviren und Würmer
Wie sein biologisches Vorbild benutzt ein Computervirus die Ressourcen
seines Wirtes und schadet ihm dabei häufig. Auch vermehrt es sich meist
unkontrolliert. Durch vom Virenautor eingebaute Schadfunktionen oder auch
durch Fehler im Virus kann das Virus das Wirtssystem bzw. dessen
Programme auf verschiedene Weisen beeinträchtigen, von harmloseren
Störungen bis hin zu Datenverlust.
Viren brauchen, im Gegensatz zu Computerwürmern, einen Wirt um ihren
Schadcode auszuführen. Viren haben keine eigenständigen
Verbreitungsroutinen, d. h. ein Computervirus kann nur durch ein infiziertes
Wirtsprogramm verbreitet werden. Wird dieses Wirtsprogramm aufgerufen,
wird – je nach Virentyp früher oder später – das Virus ausgeführt, das sich
dann selbst in noch nicht infizierte Programme weiterverbreiten oder seine
eventuell vorhandene Schadwirkung ausführen kann.
Heutzutage sind Computerviren fast vollständig von Würmern verdrängt
worden, da fast jeder Rechner an Rechnernetze (lokale Netze und das
Internet) angeschlossen ist und die aktive Verbreitungsstrategie der Würmer
in kürzerer Zeit eine größere Verbreitung ermöglicht. Viren sind nur noch in
neuen Nischen von Bedeutung.
Dozent: Stephan Eichner
…
•
Arten der Computerviren
Programmviren: werden meist durch Disketten oder Festplatten (USBSticks) eingeschleußt! Um eine ausführbare Datei zu infizieren, muss
das Virus sich in diese Wirtsdatei einfügen (oft direkt am Ende, da
dies am einfachsten ist). Außerdem modifiziert das Virus die
Wirtsdatei so, dass das Virus beim Programmstart aufgerufen wird.
Eine spezielle Form von Linkviren wählt eine andere Strategie und
fügt sich in eine bestehende Programmfunktion ein.
Systemviren: Bootviren zählen zu den ältesten Computerviren. Diese Viren
waren bis 1995 eine sehr verbreitete Form von Viren. Ein Bootsektorvirus
infiziert den Bootsektor von Disketten und Festplattenpartitionen oder den
Master Boot Record (MBR) einer Festplatte. …
Dozent: Stephan Eichner
…
Der Bootsektor ist der erste physische Teil einer Diskette oder einer
Festplattenpartition. Festplatten haben außerdem einen so genannten Master
Boot Record oder MBR. Dieser liegt wie der Bootsektor von Disketten ganz am
Anfang des Datenträgers. Bootsektoren und MBR enthalten mit den BootLoadern die Software, die von einem Rechner direkt nach dessen Start
ausgeführt wird, sobald die Firmware bzw. das BIOS den Rechner in einen
definierten Startzustand gebracht hat. Üblicherweise laden Boot-Loader das
installierte Betriebssystem und übergeben diesem die Kontrolle über den
Computer.
Dozent: Stephan Eichner
,,,
•
Makrovieren
Makroviren benötigen Anwendungen, die Dokumente mit eingebetteten
Makros verarbeiten. Sie befallen Makros in nicht-infizierten Dokumenten
oder fügen entsprechende Makros ein, falls diese noch nicht vorhanden
sind.
Makros werden von den meisten Office-Dokument-Typen verwendet, wie
z. B. in allen Microsoft-Office- sowie OpenOffice.org-Dokumenten. Aber
auch andere Dokument-Dateien können Makros enthalten. Sie dienen
normalerweise dazu, in den Dokumenten wiederkehrende Aufgaben zu
automatisieren oder zu vereinfachen.
Dozent: Stephan Eichner
…
•Skriptvirus:
Ein Skript ist ein Programm, welches nicht durch einen Kompilierer in
Maschinensprache übersetzt wird, sondern durch einen Interpreter Schritt für
Schritt ausgeführt wird. Ein Skript wird häufig auf Webservern verwendet (z. B.
in Form der Skriptsprache Perl oder PHP) bzw. durch in Webseiten
eingebettete Skriptsprachen (z. B. JavaScript).
Ein Skript wird gerne in Webseiten zusätzlich zu normalem HTML oder XML
eingesetzt, um Funktionen zu realisieren, die sonst nur unter Zuhilfenahme
ausführbarer Programme auf dem Server realisierbar wären. Solche
Funktionen sind zum Beispiel Gästebücher, Foren, dynamisch geladene Seiten
oder Webmailer. Skriptsprachen sind meist vom Betriebssystem unabhängig.
Um ein Skript auszuführen, wird ein passender Interpreter – ein Programm, das
das Skript von einer für den Menschen lesbaren Programmiersprache in eine
interne Repräsentation umsetzt und dann ausführt – benötigt. Wie alle anderen
Viren auch sucht das Skriptvirus eine geeignete Wirtsdatei, die es infizieren
kann. Im Falle von HTML-Dateien fügt sich das Skriptvirus in einen speziellen
Bereich, dem Skriptbereich, einer HTML-Datei ein (oder erzeugt diesen). Die
meisten Browser laden diesen Skriptbereich des HTML-Dokuments um ihn
schließlich ausführen. Diese speziellen Skriptviren verhalten sich also fast
genauso wie die oben beschriebenen Makroviren.
Dozent: Stephan Eichner
…
•
Mischformen
Nicht alle Computerviren fallen eindeutig in eine spezielle Kategorie. Es gibt
auch Mischformen wie zum Beispiel Viren, die sowohl Dateien als auch
Bootsektoren infizieren (Beispiel: Kernelviren) oder Makroviren, die auch
Programmdateien infizieren können. Bei der Zusammensetzung ist beinahe
jede Variation möglich.
Dozent: Stephan Eichner
…
•
Trojaner
Als Trojanisches Pferd, auch kurz Trojaner genannt, bezeichnet man ein
Programm, das als nützliche Anwendung getarnt ist, im Hintergrund aber
ohne Wissen des Anwenders eine andere Funktion erfüllt.
Ein Trojanisches Pferd zählt zur Familie unerwünschter bzw. schädlicher
Programme, der so genannten Malware. Es wird umgangssprachlich häufig
mit Computerviren synonym verwendet, sowie als Oberbegriff für
Backdoors und Rootkits gebraucht, ist davon aber klar abzugrenzen
Welcher Schaden ist zu erwarten:
- Die Vertraulichkeit von Daten ist nicht mehr gesichert
- Die Daten könne unbemerkt verändert und kopiert werden
- die korrekte Funktion der Computer ist gefährdet!
- es können hohe Kosten durch Mißbrauch von Komunikationsleitungen
z.B DSL entstehen
Dozent: Stephan Eichner
…
•
Spyware
Als Spyware (Kunstwort aus spy, dem englischen Wort für Spion, und ware als Endung von Software, also Programmen für den Computer; zu
deutsch etwa Schnüffelprogramm oder -software) wird üblicherweise
Software bezeichnet, die persönliche Daten eines PC-Benutzers ohne
dessen Wissen oder Zustimmung an den Hersteller der Software (Call
Home) oder an Dritte sendet oder dazu genutzt wird, dem Benutzer direkt
Produkte anzubieten.
Was sammelt die Spyware:
- Informationen zur benutzten Hardware
- Informationen über Software und vorhandene Daten
- Ausspionieren der Tastatureingaben des Nutzers
- Ausspionieren von Benutzernamen und Passwörtern
- Ausspionieren der Surfgewohnheiten der Benutzer
Dozent: Stephan Eichner
…
•
Hoaxes
Ein Hoax (engl., Jux, Scherz, Schabernack; auch Schwindel)
bezeichnet eine Falschmeldung, die per E-Mail, Instant Messenger
oder auf anderen Wegen (z.B. SMS und MMS) verbreitet wird, von
vielen für wahr gehalten und daher an viele Freunde weitergeleitet
wird. Das Wort kommt wahrscheinlich aus der Verkürzung von
„Hokus” aus „Hokuspokus”. Ein Hoax kann auch in Form der
Zeitungsente oder als Urban Legend auftreten.
Dozent: Stephan Eichner
•
•
•
Schäden durch Viren
Der wirtschaftliche Schaden durch Computerviren ist geringer als der
Schaden durch Computerwürmer. Grund dafür ist, dass sich Viren nur sehr
langsam verbreiten können und dadurch oft nur lokal verbreitet sind.
Ein weiterer Grund, warum der wirtschaftliche Schaden bei Computerviren
nicht so hoch ist, ist die Tatsache, dass sie den angegriffenen Computer
oder die angegriffene Datei im Allgemeinen für einen längeren Zeitraum
brauchen, um sich effektiv verbreiten zu können. Computerviren, die Daten
sofort zerstören, sind sehr ineffektiv, da sie mit dieser Aktion auch ihren
eigenen Lebensraum zerstören.
Im Zeitalter der DOS-Viren gab es trotzdem einige Viren, die erheblichen
Schaden angerichtet haben. Ein Beispiel ist das Virus DataCrime, das
gesamte Datenbestände vernichtet hat. Viele Regierungen reagierten auf
dieses Virus und verabschiedeten Gesetze, die das Verbreiten von
Computerviren zu einer Straftat machen.
Dozent: Stephan Eichner
…
•
Aufbau eines Virus:
Entschlüsselungsroutine: Dieser Teil sorgt bei verschlüsselten Viren dafür, dass die
verschlüsselten Daten wieder zur Ausführung gebracht werden können. Nicht alle Viren besitzen
diesen Teil, da nicht alle verschlüsselt sind. Oft wird die Entschlüsslungsroutine der Viren von
Antiviren-Herstellern dazu benützt, das Virus zu identifizieren, da dieser Teil oft klarer erkennbar
ist als der Rest des Virus.
Vermehrungsteil: Dieser Programmteil sorgt für die Vermehrung des Virus. Es ist der einzige
Teil, den jedes Virus hat (Definition).
Erkennungsteil: Im Erkennungsteil wird geprüft, ob die Infektion eines Programms oder
Systembereichs bereits erfolgt ist. Jedes Wirtsprogramm wird nur einmal infiziert. Dieser Teil ist in
fast allen nicht-überschreibenden Computerviren vorhanden.
Schadensteil: Im Verhältnis zur Zahl der Computerviren haben nur sehr wenige einen
Schadensteil (Payload). Der Schadensteil ist der Grund für die Angst vieler Menschen vor
Computerviren.
Bedingungsteil: Der Bedingungsteil ist dafür verantwortlich, dass der Schadensteil ausgeführt
wird. Er ist in den meisten Computerviren mit einem Schadensteil enthalten. Viren ohne
Bedingungsteil führen den Schadensteil entweder bei jeder Aktivierung oder – in ganz seltenen
Fällen – niemals aus. Der Bedingungsteil (Trigger) kann zum Beispiel das Payload an einem
bestimmten Datum ausführen oder bei bestimmten Systemvoraussetzungen (Anzahl der Dateien
usw.) oder einfach zufällig.
Tarnungsteil: Ein Tarnungsteil ist nur in wenigen, komplexen Viren vorhanden. Er kann das Virus
zum Beispiel verschlüsseln oder ihm eine andere Form geben (Polymorphismus,
Metamorphismus). Dieser Teil dient zum Schutz des Virus vor der Erkennung durch Anti-VirenSoftware. Es gibt aber nur eine sehr geringe Anzahl von Viren, die nicht vollständig erkannt
werden können (z. B.: Win32.ZMist, ACG, Win32.MetaPHOR oder OneHalf).
Dozent: Stephan Eichner
…
•
Erkennung
Damit ein Virenscanner ein Virus identifizieren kann, benötigt er dessen
Signatur. Ein Virus versucht, ein System zu infizieren, und dies geschieht
z. B. bei einem Linkvirus durch das Anhängen an ein bestehendes
Programm. Dabei muss es (abgesehen von überschreibenden Viren) zuerst
prüfen, ob es dieses Programm bereits infiziert hat – sprich, es muss in der
Lage sein, sich selbst zu erkennen. Würde es dies nicht machen, könnte es
ein Programm theoretisch beliebig oft infizieren, was aufgrund der
Dateigröße und der CPU-Belastung sehr schnell auffallen würde. Dieses
Erkennungsmuster – die Signatur – kann unter gewissen Umständen auch
von Virenscannern genutzt werden, um das Virus zu erkennen. Polymorphe
Viren sind in der Lage, mit verschiedenen Signaturen zu arbeiten, die sich
verändern können, jedoch stets einer Regel gehorchen. Daher ist es den
Herstellern von Anti-Viren-Software relativ einfach und schnell möglich, ein
neues Virus nach dessen Bekanntwerden zu identifizieren.
Viele Viren benutzen anstelle von polymorphen Signaturen sehr kleine
Kennzeichnungen wie zum Beispiel ein ungenutztes Byte im PortableExecutable-Format. Ein Virenscanner kann dieses eine Byte nicht als
Erkennungsmuster nutzen, da es zu viele falsch positive Treffer geben
würde.
Dozent: Stephan Eichner
Technische Maßnahme zum Schutz vor Computerviren
•
•
•
•
Vorbeugung gegen Systemviren:
Deaktivieren von der Bootfunktion von Diskette oder CD-Rom
(inkl.Autostartfunktion)
Vorbeugung gegen Programmviren:
Bei Neueinrichtung eines System sofort aktuellen Virenscanner installieren
und einsetzen! Später zu gewissen Zeiten automatischen Virenscan
durchführen lassen!
Vorbeugung gegen Makroviren:
Sofern nicht bekannt das ein Dokument Makros benutzt -> Makrofunktion
deaktivieren!
Vorbeugung gegen alle bekannten Viren:
Einsatz aktueller Virenprogramme und Signaturen! Regelmäßige
Datensicherung kann auch in diesem Fall Datenverlust mindern!
Dozent: Stephan Eichner
ENDE
Vielen Dank für die Aufmerksamkeit!!!