Willkommen bei den Grundlagen der IT-Sicherheit
IT-Sicherheit umfasst alle Maßnahmen zur Planung, Ausführung und Überwachung der Sicherheit in der IT-Infrastruktur. Dies beinhaltet nicht nur die technische Seite, sondern auch die Organisation, den Betrieb sowie das Recht.
Allgemeine Grundlagen
- Risiko Analysen und die getroffenen Entscheidungen müssen protokolliert werden. Kann bei großen Firmen > 1 Jahr dauern
- Risikobewertung: Risiko = Bedrohung * Wahrscheinlichkeit * Auswirkung
- Im Falle des Falles haftet am Ende der Firmeninhaber, falls keine Präventivmaßnahmen etabliert waren und sensible User-Daten entwendet wurden. (Unwissenheit schützt vor Strafe nicht)
- Wert der eigenen Daten und Abhängigkeiten feststellen. Wie bewerte ich z.B. einen Produktionsausfall oder einen Imageschaden
- Aufwand / Nutzen Verhältnis im Auge behalten. Daraus folgt eine Risk-Acceptance, also welches Risiko bin ich bereit zu tragen
Angriffsarten
- DOS/DDOS. Denial of Service, Distributed Denial of Service
- Phishing/Spear Phishing. Allgemeines Passwort Fishing, Gezieltes Passwort Fishing
- Malware (Viren/Ransomware). Ransomware, die größte IT Gefahr dieser Tage
- Brute Force Attacks..Passwörter durch Versuche erraten
- Man-in-the-middle Attacks. Den Datenstrom zwischen 2 kommunizierende Geräte zu sich umleiten, um den Datenverkehr mitzulesen, oder zu manipulieren
Die 5 Standard Angriffsphasen
- Reconaissance über Soziale Medien, Telefon, E-mail. Gegenmaßnahme: Mitarbeiter Awareness
- Ziel Strategie erstellen (auf Basis der Informationsbeschaffung)
- Eigentlicher Angriff (unauffälliger Netzscan, Ausnutzen von Schwachstellen). Gegenmaßnahme: IDS/IPS, SIEM, DLP (Data Loss Prevention)
- Zugang etablieren (per Rootkits, Konfigurationsänderung) Gegenmaßnahme: Konfigurationsscanner der regelmäßig eine gespeicherte Baseline mit der aktuellen Konfiguration vergleicht
- Spuren verwischen. Gegenmaßnahme: SIEM
Bösartiger Code
- Viren sind unerwünschte, meist schädliche Programm-Anhängsel. In der Regel sind ausführbare Dateien betroffen, da sich der unerwünscht Code bei Programmaufruf direkt mit aktiviert und auf dem betroffenen Gerät verteilt. Neben der Verteilung ist das Ausführen von bösartigen Code ihre Hauptaufgabe. Wenn solch eine Datei auf ein anderes System kopiert oder durch Email verteilt und ausgeführt wird, dann ist auch dieses System betroffen. Diese Verteilung passiert manuell.
- Würmer sind eine Untergruppe der Viren. Der Unterschied ist, dass sie selbstständig Verteilmechanismen nutzen, um so autarker agieren zu können. Sie können sich so zb. automatisch in Netzwerken ausbreiten, ohne dass eine menschliche Interaktion benötigt wird..
- Trojaner sind keine Viren. Sie geben sich als nützliches Programm aus, haben aber nur ein Ziel und zwar schädlichen Code auszuführen.
- Malware ist ein Überbegriff für Schadsoftware.
- Ransomware ist zB. einer der Vertreter dieser Gattung. Hierbei werden Ihre Daten unbemerkt verschlüsselt, damit Sie keinen Zugriff mehr darauf haben. Nach diesem Schritt wird ein Lösegeld gefordert, der Ihnen den passenden Schlüssel zum Entschlüsseln verspricht. Es wird im allgemeinen nicht empfohlen zu zahlen, weil man nicht sicher sein kann, dass das Versprechen auch wirklich eingehalten wird.
- Spyware soll Sie ausspionieren, zb um Ihre Anmeldedaten zu erhaschen und dem Hacker zukommen zu lassen.
- Adware dient dazu, Sie mit Werbung zuzuspammen.
- Botnets sind Rechner, die von Hackern übernommen worden sind und im Prinzip das tun was der Hacker im Hintergrund vorbereitet hat, zum Beispiel Malware auszuführen. Diese Rechner werden damit sozusagen zu “Zombies”. Diese Zombies bilden zusammen einen Verbund mit großer Rechenleistung, um zum Beispiel verteilte Detail-of-Service Angriffe koordiniert gegen wichtige Systeme von 3ten zu starten.
Zero Trust Konzept
Zero Trust ist kein Hardware-Produkt, sondern ein modernes Sicherheitskonzept, das auf Überlegungen basiert, die bereits seit einiger Zeit existieren. Das Zero-Trust-Modell stellt die Benutzerauthentifizierung und -autorisation in den Mittelpunkt der Sicherheit und entfernt sich damit von einem Perimeter-Sicherheitsansatz, der heutzutage üblich ist.
Zero Trust vertraut von Natur aus keinem Netzwerk oder Benutzer, auch nicht internen. Alles und jeder wird von Anfang an als “Internetzone” und somit als feindlich und kompromittiert betrachtet, da von einem kompromittierten Host in einer “vertrauenswürdigen Zone” der Weg zum Datacenter nicht weit ist.