Select your language

Suggested languages for you:
Log In Start studying!

Lernmaterialien für C9 Sicherheit von Informationssystemen an der Universität Graz

Greife auf kostenlose Karteikarten, Zusammenfassungen, Übungsaufgaben und Altklausuren für deinen C9 Sicherheit von Informationssystemen Kurs an der Universität Graz zu.

TESTE DEIN WISSEN

Was können Ursachen für die Verletzung von Schutzzielen sein? S.468

Lösung anzeigen
TESTE DEIN WISSEN
  • absichtliche Angriffe durch Cracker zur Datenmanipulation, Spionage oder Sabotage
  • Höhere Gewalt (Naturkatastrophen, Arbeitsniederlegungen)
  • Fahrlässigkeit (mangelhafte Programmierung)
  • technisches Versagen
  • organisatorische Mängel
Lösung ausblenden
TESTE DEIN WISSEN

Welche zwei wesentliche Typen von Angriffen gibt es? S.468

Lösung anzeigen
TESTE DEIN WISSEN
  • passive Angriffe
    • Versuch, Kommunikationsinhalte auszuspähen / zu belauschen also das Schutzziel der Vertraulichkeit zu verletzen
    • schwer detektierbar
  • Aktive Angriffe
    • Manipulation oder Verfälschung von Daten und Nachrichten durch konkrete Eingriffe oder
    • gänzliche Unterbindung der Kommunikation
Lösung ausblenden
TESTE DEIN WISSEN

Welche weit verbreitete Angriffsszenarien und Bedrohungen gibt es? S. 468-470

Lösung anzeigen
TESTE DEIN WISSEN
  • Buffer-Overflow
  • Computerviren, Würmer und Trojanische Pferde
  • Bot-Netze
  • DNS-Spoofing, Web-Server-Spoofing
  • Cross-Site-Scripting
  • SQL-Injection
Lösung ausblenden
TESTE DEIN WISSEN

Was ist ein Buffer-Overflow? S.468

Lösung anzeigen
TESTE DEIN WISSEN
  • Ausnutzen eines Fehlers in der Programmierung eines Software-Produkts 
  • Software überprüft nicht jede Benutzereingabe korrekt auf zulässige Länge der Eingabe -> keine ordnungsgemäße Überschreibung des internen Speichers des Systems (Überlauf) -> Einschleusen des Programmcodes in das System durch den Angreifer
  • Gegenmaßnahmen: 
    • konsequente Kontrolle des Programmcodes bei Entwicklung, v.a. bei Verarbeitung von Benutzereingaben
    • Ausführung von Programmen möglichst abgeschirmt von anderen Softwareprodukten (in Sandboxes), sodass kein Zugriff auf Speicherbereiche anderer Komponenten besteht
Lösung ausblenden
TESTE DEIN WISSEN

Was sind Computerviren, Würmer und Trojanische Pferde? Verbreitung? Gegenmaßnahmen? S.468-469

Lösung anzeigen
TESTE DEIN WISSEN

Computerviren

  • Befehlsfolgen die zur Ausführung ein weiteres Programm (Wirt) benötigen
  • können sich in anderen Softwareprodukten einnisten und bei der Ausführung des Wirtprogramms die Schadwirkung entfalten
  • zur Reproduktion fähig

Computerwürmer

  • eigenständige Programme, die von einem Nutzer oder Systemanwendung aufgerufen werden müssen
  • zur Reproduktion fähig

Trojanisches Pferd

  • Schadsoftware, die dem Nutzer eine Funktion vortäuscht (sie auch erfüllt), aber im Hintergrund weitere, versteckte Funktionen durchführt

Verbreitung

  • Viren & Würmer: Verbreitung häufig über E-Mails, die von Nutzern geöffnet & ausgeführt werden (Social Engineering),
  • Würmer: ungeschützte Lücken in Netzwerksoftware
  • Drive-by-Downloads: Schadsoftware wird unbemerkt beim Aufrufen der Webiste heruntergeladen durch Lücke in der Browser-Anwendung

Gegenmaßnahmen

  • Schulung von Nutzern und Einsatz aktueller Anti-Viren-Software
Lösung ausblenden
TESTE DEIN WISSEN

Was sind Bot-Netze? S.469

Lösung anzeigen
TESTE DEIN WISSEN
  • Fernsteuerung von Rechnern, die über ein Trojanisches Pferd mit einer Schadsoftware infiziert wurden
  • Nutzung von Bots (bzw. Zombies) 
    • zum massenhaften Versenden von Spam 
    • zur Durchführung von Denial-of-Service Angriffen (Überlastung von Servern über massenhafte sinnlose Zugriffe -> Verletzung des Ziels der Verfügbarkeit)
Lösung ausblenden
TESTE DEIN WISSEN

Was ist DNS-Spoofing / Web-Server-Spoofing? S.469

Lösung anzeigen
TESTE DEIN WISSEN
  • Versuch, den Nutzer unbemerkt auf eine andere Website umzuleiten und ihm dort legitime Inhalte vorzutäuschen, um zur Preisgabe sensitiver Daten zu verleiten
  • durch Manipulation der Domain-Name-System-Kommunikation (DNS) wird dem Rechner des Nutzers eine falsche IP-Adresse zur ursprünglich angeforderten WWW-Adresse zurückgegeben
  • homographische Angriffe
    • Nutzer ruft in der Schreibweise ähnliche Webadressen auf oder bemerkt Tippfehler nicht
  • Abwehrmaßnahmen
    • derzeit noch am entwickeln
    • gegen homographische Angriffe: URLs von sicherheitssensitiven Weibseiten nur aus bekannten und geprüften Lesezeichensammlungen aufrufen
Lösung ausblenden
TESTE DEIN WISSEN

Was ist Cross-Site-Scripting? S.469

Lösung anzeigen
TESTE DEIN WISSEN
  • Angreifer versucht Schadcode (idR. JavaScript) über unzureichend gesicherte Formulare oder andere Eingabefunktionen in eine fremde Website einzuschleusen (z.B. in ein Forum)
  • beim Aufrufen der infizierten Website durch einen Nutzer wird der JavaScript-Code in seinem Browser ausgeführt
    • -> Drive-by-Downloads realisierbar
  • Prüfung aller Eingaben von Dritten auf Zulässigkeit und Herausfilterung ungültiger Bestandteile durch den Web-Anwendungen-Anbieter


Lösung ausblenden
TESTE DEIN WISSEN

Was ist SQL-Injection? S.469-470

Lösung anzeigen
TESTE DEIN WISSEN
  • Nutzen von Lücken in Web-Anwendungen, um Schadcode in Websites einzufügen
  • analog zu Cross-Site-Scripting: Versuch, über Eingabefelder oder URL-Parameter speziell formulierte Datenbankabfragen (in der Datenbank-Abfragesprache SQL) in die Web-Anwendung einzuschleusen (injizieren), die dann serverseitig von der Web-Anwendung ausgeführt werden
  • unerlaubter Zugriff auf geschützte Datenbereiche oder Manipulation von Datenbeständen möglich
  • Vermeidung: Implementierung von Funktionen, die alle Nutzereingaben vor einer Übergabe an eine Datenbank prüfen und filtern
Lösung ausblenden
TESTE DEIN WISSEN

Was sind Prinzipien für die Entwicklung von sicheren Systemen und Programmen? (Jerome Saltzer und Michael Schroeder) S. 470

Lösung anzeigen
TESTE DEIN WISSEN
  • Erlaubnisprinzip
    • Verbot von zunächst jedem Zugriff auf Datenbestände oder Programmfunktionen
    • erst nach ausdrücklicher Erlaubnis 
  • Vollständigkeitsprinzip 
    • Prüfung jedes einzelnen Zugriffs jederzeit auf seine Zulässigkeit
  • Prinzip der Benutzerakzeptanz

    • Sicherheitsmaßnahmen auf Kooperation der Nutzer angewiesen -> daher möglichst verständlich und einfach bedienbar

  • Prinzip der minimalen Rechte

    • jeder Nutzer erhält nur genau die Rechte, die er zur Erledigung seiner jeweiligen Aufgabe benötigt, keine weitergehenden Zugriffsrechte

  • Prinzip des offenen Entwurfs

    • die Sicherheit eines Systems darf nicht von der Geheimhaltung der eingesetzten Verfahren abhängen (security through obscurity), sondern alle Funktionsmechanismen sollen offen gelegt werden


Lösung ausblenden
TESTE DEIN WISSEN

Wie funktioniert die Asymmetrische Verschlüsselung, was ist das bekannteste Public-Key-Verfahren und wie funktioniert es? S. 473

Lösung anzeigen
TESTE DEIN WISSEN
  • verwendeter Schlüssel muss über sicheren Kanal ausgetauscht werden
    1. aus Kenntnis eines Schlüssels darf nicht anderen abgeleitet werden können
    2. Private Key = wird von Empfänger geheim gehalten
    3. Public Key = passt zu Private Key, Public Key gibt Empfänger anderen auch öffentlich bekannt
    4. wird Public-Key-Verfahren bezeichnet
    5. Vorgehensweise:
      • Empfänger gibt Public Key bekannt
      • Sender schickt Nachricht verschlüsselt mit diesem Public Key
      • Empfänger entschlüsselt Nachricht mit seinem Private Key
  • RSA
    1. bekannteste Public-Key-Verfahren, nach Entwickler Rivest, Shamir, Adleman
    2. aus Produkt zweier Primzahlen kann nicht auf die zwei Multiplikatoren geschlossen werden
    3. beide Faktoren unterscheiden sich in der Länge
    4. langsamer als AES, jedoch:
      • kein Nachteil für Kommunikation
      • GROßER VORTEIL, ggü. Brute-Force-Attacken, da diese umso schwerer, je langsamer der Algorithmus
Lösung ausblenden
TESTE DEIN WISSEN

Was sind verschiedene Sicherheitsziele, die als Kriterien zur Beurteilung sicherer Informationssysteme dienen? S. 466-468

Lösung anzeigen
TESTE DEIN WISSEN
  • Vertraulichkeit
    • Inhalt von Nachrichten soll nur autorisierten Personen zugänglich gemacht werden
    • -> Einsatz von kryptografischen Verfahren zur Verschlüsselung von Nachrichten
  • Integrität
    • Unversehrtheit der ausgetauschten Daten oder von Daten, die auf einem beliebigen Medium gespeichert werden
    • Nachricht kommt unverändert an
    • -> elektronischer Fingerabdruck
  • Authentizität
    • Echtheit der Nachricht
    • Nachricht stammt auch wirklich vom dem Absender, der vorgibt der Absender zu sein
    • -> Verfahren zur Authentifikation z.B. über Passwort-basierte Logins, biometrische Systeme und digitale Signaturen
  • Autorisierung
    • authentifizierter Nutzer darf nur auf Daten zugreifen, für die er eine Berechtigung bzw. Autorisation besitzt
    • -> Verfahren zur Rechteverwaltung, z.B. durch Zugriffssteuerungslisten
  • Verbindlichkeit
    • Beweisbarkeit des Ursprungs und Empfangs einer Nachricht
    • Absender einer Nachricht kann nicht leugnen, dass diese tatsächlich von ihm stammt
    • -> Authentifizierung und sorgfältige Schlüsselgenerierung und Übermittlung sowie Zertifikate, die untrennbar mit Identität des Besitzers verbunden sind
  • Verfügbarkeit
    • bietet berechtigten Nutzern jederzeit den Zugriff auf die geforderten Daten oder Dienstleistungen
    • Beeinträchtigungen möglich durch technische Fehler in IT-Komponenten oder durch andere Nutzer, die das System überlasten z.B. Denial-of-Service-Angriffen 
  • Anonymität
    • Persönlichkeitsschutz
    • Pseudonymisierung 
      • personenbezogene Daten werden so verändert, dass sie ohne Kenntnis des verwendeten Pseudonymisierung-Verfahrens nicht mehr einem Individuum zugeordnet werden können
Lösung ausblenden
  • 88141 Karteikarten
  • 1703 Studierende
  • 69 Lernmaterialien

Beispielhafte Karteikarten für deinen C9 Sicherheit von Informationssystemen Kurs an der Universität Graz - von Kommilitonen auf StudySmarter erstellt!

Q:

Was können Ursachen für die Verletzung von Schutzzielen sein? S.468

A:
  • absichtliche Angriffe durch Cracker zur Datenmanipulation, Spionage oder Sabotage
  • Höhere Gewalt (Naturkatastrophen, Arbeitsniederlegungen)
  • Fahrlässigkeit (mangelhafte Programmierung)
  • technisches Versagen
  • organisatorische Mängel
Q:

Welche zwei wesentliche Typen von Angriffen gibt es? S.468

A:
  • passive Angriffe
    • Versuch, Kommunikationsinhalte auszuspähen / zu belauschen also das Schutzziel der Vertraulichkeit zu verletzen
    • schwer detektierbar
  • Aktive Angriffe
    • Manipulation oder Verfälschung von Daten und Nachrichten durch konkrete Eingriffe oder
    • gänzliche Unterbindung der Kommunikation
Q:

Welche weit verbreitete Angriffsszenarien und Bedrohungen gibt es? S. 468-470

A:
  • Buffer-Overflow
  • Computerviren, Würmer und Trojanische Pferde
  • Bot-Netze
  • DNS-Spoofing, Web-Server-Spoofing
  • Cross-Site-Scripting
  • SQL-Injection
Q:

Was ist ein Buffer-Overflow? S.468

A:
  • Ausnutzen eines Fehlers in der Programmierung eines Software-Produkts 
  • Software überprüft nicht jede Benutzereingabe korrekt auf zulässige Länge der Eingabe -> keine ordnungsgemäße Überschreibung des internen Speichers des Systems (Überlauf) -> Einschleusen des Programmcodes in das System durch den Angreifer
  • Gegenmaßnahmen: 
    • konsequente Kontrolle des Programmcodes bei Entwicklung, v.a. bei Verarbeitung von Benutzereingaben
    • Ausführung von Programmen möglichst abgeschirmt von anderen Softwareprodukten (in Sandboxes), sodass kein Zugriff auf Speicherbereiche anderer Komponenten besteht
Q:

Was sind Computerviren, Würmer und Trojanische Pferde? Verbreitung? Gegenmaßnahmen? S.468-469

A:

Computerviren

  • Befehlsfolgen die zur Ausführung ein weiteres Programm (Wirt) benötigen
  • können sich in anderen Softwareprodukten einnisten und bei der Ausführung des Wirtprogramms die Schadwirkung entfalten
  • zur Reproduktion fähig

Computerwürmer

  • eigenständige Programme, die von einem Nutzer oder Systemanwendung aufgerufen werden müssen
  • zur Reproduktion fähig

Trojanisches Pferd

  • Schadsoftware, die dem Nutzer eine Funktion vortäuscht (sie auch erfüllt), aber im Hintergrund weitere, versteckte Funktionen durchführt

Verbreitung

  • Viren & Würmer: Verbreitung häufig über E-Mails, die von Nutzern geöffnet & ausgeführt werden (Social Engineering),
  • Würmer: ungeschützte Lücken in Netzwerksoftware
  • Drive-by-Downloads: Schadsoftware wird unbemerkt beim Aufrufen der Webiste heruntergeladen durch Lücke in der Browser-Anwendung

Gegenmaßnahmen

  • Schulung von Nutzern und Einsatz aktueller Anti-Viren-Software
Mehr Karteikarten anzeigen
Q:

Was sind Bot-Netze? S.469

A:
  • Fernsteuerung von Rechnern, die über ein Trojanisches Pferd mit einer Schadsoftware infiziert wurden
  • Nutzung von Bots (bzw. Zombies) 
    • zum massenhaften Versenden von Spam 
    • zur Durchführung von Denial-of-Service Angriffen (Überlastung von Servern über massenhafte sinnlose Zugriffe -> Verletzung des Ziels der Verfügbarkeit)
Q:

Was ist DNS-Spoofing / Web-Server-Spoofing? S.469

A:
  • Versuch, den Nutzer unbemerkt auf eine andere Website umzuleiten und ihm dort legitime Inhalte vorzutäuschen, um zur Preisgabe sensitiver Daten zu verleiten
  • durch Manipulation der Domain-Name-System-Kommunikation (DNS) wird dem Rechner des Nutzers eine falsche IP-Adresse zur ursprünglich angeforderten WWW-Adresse zurückgegeben
  • homographische Angriffe
    • Nutzer ruft in der Schreibweise ähnliche Webadressen auf oder bemerkt Tippfehler nicht
  • Abwehrmaßnahmen
    • derzeit noch am entwickeln
    • gegen homographische Angriffe: URLs von sicherheitssensitiven Weibseiten nur aus bekannten und geprüften Lesezeichensammlungen aufrufen
Q:

Was ist Cross-Site-Scripting? S.469

A:
  • Angreifer versucht Schadcode (idR. JavaScript) über unzureichend gesicherte Formulare oder andere Eingabefunktionen in eine fremde Website einzuschleusen (z.B. in ein Forum)
  • beim Aufrufen der infizierten Website durch einen Nutzer wird der JavaScript-Code in seinem Browser ausgeführt
    • -> Drive-by-Downloads realisierbar
  • Prüfung aller Eingaben von Dritten auf Zulässigkeit und Herausfilterung ungültiger Bestandteile durch den Web-Anwendungen-Anbieter


Q:

Was ist SQL-Injection? S.469-470

A:
  • Nutzen von Lücken in Web-Anwendungen, um Schadcode in Websites einzufügen
  • analog zu Cross-Site-Scripting: Versuch, über Eingabefelder oder URL-Parameter speziell formulierte Datenbankabfragen (in der Datenbank-Abfragesprache SQL) in die Web-Anwendung einzuschleusen (injizieren), die dann serverseitig von der Web-Anwendung ausgeführt werden
  • unerlaubter Zugriff auf geschützte Datenbereiche oder Manipulation von Datenbeständen möglich
  • Vermeidung: Implementierung von Funktionen, die alle Nutzereingaben vor einer Übergabe an eine Datenbank prüfen und filtern
Q:

Was sind Prinzipien für die Entwicklung von sicheren Systemen und Programmen? (Jerome Saltzer und Michael Schroeder) S. 470

A:
  • Erlaubnisprinzip
    • Verbot von zunächst jedem Zugriff auf Datenbestände oder Programmfunktionen
    • erst nach ausdrücklicher Erlaubnis 
  • Vollständigkeitsprinzip 
    • Prüfung jedes einzelnen Zugriffs jederzeit auf seine Zulässigkeit
  • Prinzip der Benutzerakzeptanz

    • Sicherheitsmaßnahmen auf Kooperation der Nutzer angewiesen -> daher möglichst verständlich und einfach bedienbar

  • Prinzip der minimalen Rechte

    • jeder Nutzer erhält nur genau die Rechte, die er zur Erledigung seiner jeweiligen Aufgabe benötigt, keine weitergehenden Zugriffsrechte

  • Prinzip des offenen Entwurfs

    • die Sicherheit eines Systems darf nicht von der Geheimhaltung der eingesetzten Verfahren abhängen (security through obscurity), sondern alle Funktionsmechanismen sollen offen gelegt werden


Q:

Wie funktioniert die Asymmetrische Verschlüsselung, was ist das bekannteste Public-Key-Verfahren und wie funktioniert es? S. 473

A:
  • verwendeter Schlüssel muss über sicheren Kanal ausgetauscht werden
    1. aus Kenntnis eines Schlüssels darf nicht anderen abgeleitet werden können
    2. Private Key = wird von Empfänger geheim gehalten
    3. Public Key = passt zu Private Key, Public Key gibt Empfänger anderen auch öffentlich bekannt
    4. wird Public-Key-Verfahren bezeichnet
    5. Vorgehensweise:
      • Empfänger gibt Public Key bekannt
      • Sender schickt Nachricht verschlüsselt mit diesem Public Key
      • Empfänger entschlüsselt Nachricht mit seinem Private Key
  • RSA
    1. bekannteste Public-Key-Verfahren, nach Entwickler Rivest, Shamir, Adleman
    2. aus Produkt zweier Primzahlen kann nicht auf die zwei Multiplikatoren geschlossen werden
    3. beide Faktoren unterscheiden sich in der Länge
    4. langsamer als AES, jedoch:
      • kein Nachteil für Kommunikation
      • GROßER VORTEIL, ggü. Brute-Force-Attacken, da diese umso schwerer, je langsamer der Algorithmus
Q:

Was sind verschiedene Sicherheitsziele, die als Kriterien zur Beurteilung sicherer Informationssysteme dienen? S. 466-468

A:
  • Vertraulichkeit
    • Inhalt von Nachrichten soll nur autorisierten Personen zugänglich gemacht werden
    • -> Einsatz von kryptografischen Verfahren zur Verschlüsselung von Nachrichten
  • Integrität
    • Unversehrtheit der ausgetauschten Daten oder von Daten, die auf einem beliebigen Medium gespeichert werden
    • Nachricht kommt unverändert an
    • -> elektronischer Fingerabdruck
  • Authentizität
    • Echtheit der Nachricht
    • Nachricht stammt auch wirklich vom dem Absender, der vorgibt der Absender zu sein
    • -> Verfahren zur Authentifikation z.B. über Passwort-basierte Logins, biometrische Systeme und digitale Signaturen
  • Autorisierung
    • authentifizierter Nutzer darf nur auf Daten zugreifen, für die er eine Berechtigung bzw. Autorisation besitzt
    • -> Verfahren zur Rechteverwaltung, z.B. durch Zugriffssteuerungslisten
  • Verbindlichkeit
    • Beweisbarkeit des Ursprungs und Empfangs einer Nachricht
    • Absender einer Nachricht kann nicht leugnen, dass diese tatsächlich von ihm stammt
    • -> Authentifizierung und sorgfältige Schlüsselgenerierung und Übermittlung sowie Zertifikate, die untrennbar mit Identität des Besitzers verbunden sind
  • Verfügbarkeit
    • bietet berechtigten Nutzern jederzeit den Zugriff auf die geforderten Daten oder Dienstleistungen
    • Beeinträchtigungen möglich durch technische Fehler in IT-Komponenten oder durch andere Nutzer, die das System überlasten z.B. Denial-of-Service-Angriffen 
  • Anonymität
    • Persönlichkeitsschutz
    • Pseudonymisierung 
      • personenbezogene Daten werden so verändert, dass sie ohne Kenntnis des verwendeten Pseudonymisierung-Verfahrens nicht mehr einem Individuum zugeordnet werden können
C9 Sicherheit von Informationssystemen

Erstelle und finde Lernmaterialien auf StudySmarter.

Greife kostenlos auf tausende geteilte Karteikarten, Zusammenfassungen, Altklausuren und mehr zu.

Jetzt loslegen

Das sind die beliebtesten StudySmarter Kurse für deinen Studiengang C9 Sicherheit von Informationssystemen an der Universität Graz

Für deinen Studiengang C9 Sicherheit von Informationssystemen an der Universität Graz gibt es bereits viele Kurse, die von deinen Kommilitonen auf StudySmarter erstellt wurden. Karteikarten, Zusammenfassungen, Altklausuren, Übungsaufgaben und mehr warten auf dich!

Das sind die beliebtesten C9 Sicherheit von Informationssystemen Kurse im gesamten StudySmarter Universum

Sicherheit in betriebliche Informationssysteme

Hochschule Merseburg

Zum Kurs
Informationssicherheit

Universität Bremen

Zum Kurs

Die all-in-one Lernapp für Studierende

Greife auf Millionen geteilter Lernmaterialien der StudySmarter Community zu
Kostenlos anmelden C9 Sicherheit von Informationssystemen
Erstelle Karteikarten und Zusammenfassungen mit den StudySmarter Tools
Kostenlos loslegen C9 Sicherheit von Informationssystemen