# IT-Security (Glossar) ```markmap # IT-Sicherheit # Computersicherheit ## Datensicherheit ## Datenschutz ## Bedrohungen ### Viren ### Würmer ### trojansiches Pferd # Angriffe ## Cross-Site ## Injection ### SQL-Injection ### ... # Verteidigung ``` --- :::spoiler Inhaltsverzeichnis [toc] ::: HB, IF, RM TODO - [x] Keylogger - [x] Honeypot - [x] Sniffer - [x] Whistblower - [ ] Passkeys ## Basics ### Linux https://hackmd.io/nfNu3ZnaQoukg1887uitAQ?both ### Datenkommunikation ## Datenschutz Datenschutz bezieht sich auf den Schutz personenbezogener Daten und darauf, sicherzustellen, dass diese Daten angemessen, vertraulich und rechtmäßig verwendet werden. Datenschutzgesetze und -richtlinien legen fest, wie personenbezogene Daten gesammelt, verarbeitet, gespeichert und weitergegeben werden dürfen. ### Grundsätze des Datenschutzes #### Verbotsprinzip mit Erlaubnisvorbehalt - die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist grundsätzlich verboten - Sie ist nur dann erlaubt, wenn entweder eine klare Rechtsgrundlage gegeben ist (Erfüllung eines mit dem Betroffenen geschlossenen Vertrages oder Berechtiges Intresse der datenverarbeitenden Stelle) oder wenn die betroffene Person ausdrücklich ihre Zustimmung zur Erhebung, Verarbeitung und Nutzung gegeben hat. #### Datenminimierung - Datenvermeidung und Datensparsamkeit - Ausrichtung der DV-Systeme an dem Ziel, so dass keine oder so wenig personenbezogene Daten wie möglich verwendet werden. - So wenig und so kurz wie möglich speichern #### Zweckbindung Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. Die Weiterverarbeitung für andere Zwecke ist nur zulässig, wenn dies mit den ursprünglichen Zwecken vereinbar ist oder gesetzlich vorgeschrieben oder gestattet ist. #### Datenminimierung Es dürfen nur die für die festgelegten Zwecke erforderlichen personenbezogenen Daten erhoben und verarbeitet werden. Die Daten müssen auf das notwendige Minimum beschränkt sein und dürfen nicht unnötig oder unverhältnismäßig sein. #### Rechtmäßigkeit, Fairness und Transparenz Personenbezogene Daten müssen auf rechtmäßige Weise, fair und transparent verarbeitet werden. Dies bedeutet, dass die Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und verwendet werden dürfen. Die betroffenen Personen müssen über die Verarbeitung ihrer Daten informiert werden. ## Datensicherheit Datensicherheit hingegen bezieht sich auf den Schutz von Daten vor unbefugtem Zugriff, Verlust, Diebstahl oder Beschädigung. Dies umfasst technische, organisatorische und physische Maßnahmen zum Schutz von Daten vor Bedrohungen wie Hackerangriffen, Malware, Datenlecks oder anderen Sicherheitsvorfällen. Zu den Maßnahmen der Datensicherheit gehören die Implementierung von Zugriffskontrollen, Verschlüsselung, Firewalls, regelmäßige Sicherheitsüberprüfungen, Schulungen der Mitarbeiter und Notfallwiederherstellungspläne. ### Sensible Daten Es gibt verschiedene Kategorien von sensiblen Daten, deren Kompromittierung schwerwiegende Konsequenzen haben kann. Es gibt unterschiedliche Kategorien von Sensiblen Daten z. B. PII, PSI, PHI und PCI. Jede dieser Kategorien stellt unterschiedliche Arten von vertraulichen Informationen dar, deren Verlust oder Missbrauch unterschiedliche Auswirkungen auf Einzelpersonen und Organisationen haben kann. #### PII (Personally Identifiable Information) – Personenbezogene Daten PII bezieht sich auf alle Informationen, die verwendet werden können, um eine Person eindeutig zu identifizieren, zu lokalisieren oder zu kontaktieren. Dazu gehören unter anderem: **Beispiele für personenbezogene Daten** - Name, Alter, Familienstand, Geburtsdatum, Anschrift, Telefonnummer, E-Mail Adresse, Gen-/Krankendaten. - Werturteile(z.B. Zeugnisse etc.) **Beispiele für personenbeziehbare Daten** - Statische und dynamische IP-Adressen, Kfz-Kennzeichen, Kontonummer, Matrikelnummer **Anonyme Daten** Anonyme Daten bei denen die Person unbekannt(also unbestimmbar) ist, fallen nicht unter das Datenschutzrech. **Besondere Kategorien personenbezogener Daten** Besonders geschütz werden gemäß § 46 Abs. 14 BDSG: - Daten aus denen die rassische oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen hervorgehen - genetische Daten - biometrische Daten zu eindeutigen Identifizierung einer natürlichen Person - Gesundheitsdaten und Daten zum Sexualleben oder zur sexuellen Orientierung #### PSI (Proprietary Sensitive Information) – Geschützte Unternehmensinformationen PSI umfasst vertrauliche und geschützte Informationen, die einem Unternehmen gehören und nicht für die Öffentlichkeit bestimmt sind. **Beispiele für Unternehmensinformationen** - Geschäftsgeheimnisse, Produktdesigns - Patente, Marken oder Forschungsergebnisse - Finanzberichte oder Strategiepläne - Marketingpläne, Kundenlisten #### PHI (Protected Health Information) – Geschützte Gesundheitsinformationen PHI bezieht sich auf medizinische Daten, die mit einer bestimmten Person in Verbindung gebracht werden können. **Beispiele für Gesundheitsinformationen** - Gesundheitsakten, Diagnosen und Behandlungshistorie - Medizinische Rechnungen oder Versicherungsdaten - Informationen über Verschreibungen und Arzneimittel - Krankheitsgeschichte oder genetische Daten #### PCI (Payment Card Industry) - Geschützte Zahlungskarteninformationen PCI bezieht sich auf Kredit- und Debitkartendaten, die verwendet werden, um Zahlungen durchzuführen, und die einem bestimmten Karteninhaber zugeordnet werden können. Diese Daten unterliegen besonderen Sicherheitsanforderungen, um Betrug und Missbrauch zu verhindern. **Beispiele für Zahlungskarteninformationen** - Primäre Kontonummer (PAN) – die Kartennummer auf der Vorderseite - Name des Karteninhabers - Ablaufdatum der Karte - Sicherheitscode (CVV/CVC) - Magnetstreifen- oder Chip-Daten (z. B. Track 1 & 2) - PIN-Informationen bei Debitkarten (nur während der Autorisierung) Übersicht: [^1] [^1]: [barracuda.com](https://de.blog.barracuda.com/2023/05/12/pii-phi-npi-pci-data-compliance) ## Die Gefahr ### Bedrohungsakteure **White-Hat-Hacker** -Motivation: Verbesserung der Sicherheit, Schutz vor Hackern, Aufdecken von Schwachstellen -Ziel: Sicherheit von Systemen und Organisationen verbessern indem Sicherheitslücken aufgespürt und geschlossen werden, bevor böswillige Hacker diese ausnutzen. **Black-Hat-Hacker** -Motivation: Finanzieller Gewinn, Ruhm, Macht, Spionage -Ziel: Sicherheitslücken ausnutzen um Daten zu stehlen und Schaden anzurichten. Mit Verkauf der Daten finanziellen Gewinn erzielen. **Grey-Hat-Hacker** -Motivation: Eigeninteresse, Protest, Neugier und Aufmerksamkeit -Ziel: Schwachstellen finden und an Betroffene melden, um ihnen zu helfen, ihre Sicherheit zu verbessern. **Whistleblower** - Motivation: Gerechtigkeitssinn, Persönliche Betroffenheit, Ethik & Moral - Ziel: Informationen aus einem geheimen oder geschützten Zusammenhang der Öffentlichkeit zugänglich machen. **Script Kiddies** - Motivation: Neugier, Selbstdarstellung, Schaden anrichten ohne tiefgehendes technisches Wissen. - Ziel: Durchführung von Cyber-Angriffen wie DDoS-Attacken, Malware-Verbreitung oder Hacking von Websites, oft ohne ein klares Ziel, sondern aus Spaß oder um Anerkennung zu bekommen. **Hacktivisten** - Motivation: Politische, soziale oder ideologische Ziele. - Ziel: Aufmerksamkeit auf bestimmte politische oder soziale Themen lenken, Proteste gegen Unternehmen oder Regierungen durchführen, Veränderungen durch Cyber-Angriffe erzwingen. **Cyberkriminelle** - Motivation: Finanzielle Gewinne durch illegale Aktivitäten. - Ziel: Stehlen von sensiblen Informationen (z.B. Kreditkartendaten, PII), Erpressung durch Ransomware, finanzieller Betrug. Übersicht: [^2] [^2]: [avg.com](https://www.avg.com/de/signal/types-of-hackers#:~:text=G%C3%A4ngige%20Hacking%2DArten%20Es%20gibt%20drei%20Hauptmethoden%2C%20mit,Dazu%20geh%C3%B6ren%20Netzwerk%2DHacking%2C%20Social%20Engineering%20und%20Hardware%2DHacking) ### Malware #### Adware Zur Verbreitung von Werbung, wird oft im Beipack von legitimer Software (Freeware) verbreitet. #### Backdoors und Rootkits Richten Hintertüren im Betriebssystem ein. Entdeckung ist schwierig #### Bot, Bot-Netze Mehrere, unter zentraler Kontrolle des Angreifers stehende fernsteuerbare Schadprogramme. #### Logische Bombe Schadprogramm, das über einen Trigger Schadcode aktiviert. Trigger können z.B. Daten, Uhrzeiten, andere ausgeführte Programme. Sie bleiben solange inaktiv, bis das auslösende Ereignis stattfindet. #### Ransomware Verschlüsselt alle auf der FP vorhandenen Daten. Entschlüsselung nur nach Zahlung des geforderten Betrages. #### Scareware Verunsicherung der Nutzer, mit dem Ziel Schadsoftware zu installieren. #### Spyware Spioniert den Nutzer aus (Tastatureingaben, etc ) oft im Beipack von legitimer Software oder Trojanern. #### Keylogger Eine unterarte der Spyware sind Keylogger. Ein Keylogger (dt. „Tasten-Rekorder“) ist eine Hard- oder Software, die verwendet wird, um die Eingaben des Benutzers an einem Computer mit zu protokollieren, dadurch zu überwachen oder zu rekonstruieren. Keylogger werden bspw. von Hackern verwendet, um an vertrauliche Daten wie z.B. Kennworte oder PINs (Personal Identification Number) zu gelangen. Quelle: [^3] [^3]: [gabler.de](https://wirtschaftslexikon.gabler.de/definition/keylogger-53417/version-276509) #### Virus Ein Virus ist ein schädliches Programm, das sich selbst replizieren und verbreiten kann, indem es sich in andere Dateien oder Programme einbettet. Ein Virus kann verschiedene schädliche Aktivitäten ausführen, wie z.B. das Löschen von Dateien, das Beschädigen des Betriebssystems oder das Stehlen von Daten. #### Trojaner - Ein Trojaner ist eine schädliche Software, die sich als legitime oder nützliche Anwendung tarnt, um den Benutzer dazu zu verleiten, sie herunterzuladen, auszuführen oder zu installieren. - Nach der Installation kann ein Trojaner verschiedene schädliche Aktivitäten ausführen, wie z. B. das Sammeln von Benutzerdaten, das Installieren von Backdoors für Remote-Zugriff, das Aufzeichnen von Tastatureingaben oder das Beschädigen von Dateien. - Im Gegensatz zu Viren replizieren sich Trojaner nicht selbst und verbreiten sich nicht eigenständig. Sie benötigen die Interaktion des Benutzers, um auf ein System zu gelangen. #### Würmer Nutzt Schwachstellen in Netzwerken und breitet sich selbstständig aus, indem er sich selbst repliziert. ### Tools #### Categories of Tools - Passwort cracker= Um Passwörter zu knacken oder wiederherzustellen z. B. John the Ripper, THC Hydra, Meduse - WLAN hacking tools= Um sich Zugang zu einem drahtlosen Netzwerk zu verschaffen und Schwachstellen zu identifizieren z. B. Firesheep, NetStumbler - Netzwerk hacking tools= Scannen von IP-Adressen und Ports um herauszufinden welche in Nutzung sind z.B. AngryIPScanner, Nmap - Packet Sniffer= Sammeln und Protokollieren einige oder aller Pakete, die durch ein Computer-Netzwerk gehen, unabhängig davon, wie das Paket adressiert ist z. B. Wireshark, Tcpdump - Rootkit Detektor= Programm, das Rootkits auf einem System identifiziert und entfernt z.B Avast One - Forensische tools= Software und Hardware um digitale Beweise zu sammeln, zu analysieren und zu bewahren z.B Sleuth Kit, EnCase - Verschlüsselungstools= Verschlüsseln Dateien, Ordner oder ganze Datenträger z.B. VeraCrypt, GNU Privacy Guard (GPG) - Vulnerability Exploitation Tools= Software und Verfahren, die eingesetzt werden, um Sicherheitslücken in IT-Systemen und -Anwendungen auszunutzen z.B. Metasploit, GoBuster #### John the Ripper John the Ripper (JtR) ist ein leistungsstarkes und weit verbreitetes Open-Source-Tool zur Passwort-Knackung. Es wurde ursprünglich für Unix-basierte Systeme entwickelt, ist aber mittlerweile plattformübergreifend verfügbar (Windows, Linux, macOS). Das Tool wird von Sicherheitsexperten, Penetrationstestern und Administratoren verwendet, um die Sicherheit von Passwörtern zu testen. **Eigenschaften** - Unterstützt zahlreiche Hash- und Verschlüsselungsformate, darunter MD5, SHA-1, NTLM und viele andere. - Bietet verschiedene Angriffsmodi, z. B. Dictionary-Angriff, Brute-Force-Angriff und Hybrid-Angriff. - Verwendet optimierte Algorithmen und kann auf Multi-Core-CPUs sowie GPUs für schnellere Berechnungen ausgeführt werden. - Verfügbar in einer kostenlosen und einer erweiterten „Jumbo“-Version, die zusätzliche Hash-Formate und Features unterstützt. **Beispiel – Passwort-Knacken mit John the Ripper** Angenommen, eine Datei hashes.txt enthält gehashte Passwörter. Um diese zu knacken, kann folgender Befehl genutzt werden: `john --wordlist=wordlist.txt hashes.txt` Hier wird eine Wortliste (wordlist.txt) verwendet, um Passwörter zu testen. Falls John das Passwort findet, wird es in der Ausgabe angezeigt. #### Metasploit (Exploit) Metasploit ist ein leistungsstarkes Open-Source-Framework für Penetrationstests und Sicherheitstests. Es wurde von Rapid7 entwickelt und wird von Sicherheitsforschern, Administratoren und Ethical Hackern genutzt, um Schwachstellen in Systemen zu identifizieren und auszunutzen. Metasploit bietet eine große Sammlung von Exploits, Payloads und Modulen zur Sicherheitsbewertung. **Eigenschaften** - Modulares Design: Enthält zahlreiche Exploits, Payloads und Post-Exploitation-Module. - Unterstützung verschiedener Angriffsmethoden: Nutzt Schwachstellen in Betriebssystemen, Netzwerken und Anwendungen aus. - Interaktive Konsole (msfconsole): Ermöglicht eine bequeme Steuerung von Angriffen und Scans. - Automatisierung durch Skripte: Unterstützt Metasploit-Module für maßgeschneiderte Angriffe und Tests. - Integrierte Exploit-Datenbank: Ständig aktualisierte Sammlung von Schwachstellen und Angriffsmethoden. **Beispiel – Exploit eines verwundbaren Systems** Ein einfacher Angriff mit Metasploit könnte so aussehen: 1. Starten der Metasploit-Konsole: `msfconsole` 2. Auswahl eines Exploits, z. B. für eine bekannte Schwachstelle in Windows: `use exploit/windows/smb/ms17_010_eternalblue` 3. Setzen des Zielsystems (IP-Adresse des Opfers): `set RHOSTS 192.168.1.100` 4. Auswahl einer passenden Payload (z. B. eine Meterpreter-Shell): `set PAYLOAD windows/meterpreter/reverse_tcp` 5. Starten des Angriffs: `exploit` Falls die Schwachstelle existiert und erfolgreich ausgenutzt wird, erhält der Angreifer Zugriff auf das System. #### Hydra (Offensive Tool) Hydra (auch THC-Hydra) ist ein leistungsstarkes Open-Source-Tool zum automatisierten Knacken von Passwörtern. Es wird von Sicherheitsforschern, Penetrationstestern und Administratoren verwendet, um die Sicherheit von Authentifizierungsmechanismen zu testen. Hydra unterstützt verschiedene Protokolle und kann durch seine hohe Geschwindigkeit und Anpassbarkeit überzeugen. **Eigenschaften** - Unterstützt zahlreiche Protokolle, darunter SSH, FTP, HTTP, RDP, MySQL, Telnet, SMTP und viele mehr. - Multithreading-fähig, was schnelle und parallele Angriffe ermöglicht. - Brute-Force- und Dictionary-Angriffe sind möglich, um schwache Passwörter zu finden. - Erweiterbar durch Module, um neue Protokolle oder Angriffstechniken hinzuzufügen. - Plattformübergreifend nutzbar (Linux, Windows, macOS). **Beispiel – Passwort-Knacken mit Hydra** Angenommen, ein Administrator möchte die Sicherheit eines SSH-Logins testen. Der folgende Befehl versucht, das Passwort eines Benutzers mit einer Wortliste zu erraten: `hydra -l root -P wordlist.txt ssh://192.168.1.100` **Erklärung** - `-l root` Gibt den Benutzernamen an (in diesem Fall "root"). - `-P wordlist.txt` Verwendet die Wortliste wordlist.txt zum Testen von Passwörtern. - `ssh://192.168.1.100` Zielsystem mit der IP-Adresse 192.168.1.100 über das SSH-Protokoll. Wenn ein gültiges Passwort gefunden wird, zeigt Hydra es in der Ausgabe an. #### GoBuster (Offensive Tool) Gobuster ist ein leistungsstarkes Open-Source-Tool für das schnelle Auffinden versteckter Verzeichnisse, Dateien und Subdomains auf Webservern. Es wird häufig von Penetrationstestern und Sicherheitsforschern verwendet, um potenzielle Angriffsflächen zu identifizieren. Gobuster arbeitet mit Wortlisten (Wordlists) und nutzt einen schnellen, auf Goroutines basierenden Ansatz, um Webseiten effizient zu scannen. **Eigenschaften** - Verzeichnis- und Datei-Bruteforcing: Findet versteckte Ordner und Dateien auf Webservern. - Subdomain-Enumeration: Entdeckt Subdomains durch DNS-Bruteforcing. - Multithreading-Unterstützung: Sorgt für hohe Geschwindigkeit und Effizienz. - Unterstützt verschiedene Protokolle: Arbeitet mit HTTP(S), DNS und Amazon S3 Buckets. - Kompakte und schnelle Go-Implementierung: Keine externe Abhängigkeit außer der Wortliste. **Beispiel – Verzeichnisse auf einer Webseite scannen** Angenommen, ein Penetrationstester möchte versteckte Verzeichnisse auf einer Webseite (http://example.com) finden. Der folgende Befehl führt einen Scan mit einer Wortliste (wordlist.txt) durch: `gobuster dir -u http://example.com -w wordlist.txt` **Erklärung:** - dir → Verwendet den Verzeichnis-Bruteforce-Modus. - -u http://example.com → Ziel-URL. - -w wordlist.txt → Nutzt die Wortliste wordlist.txt, um nach möglichen Verzeichnissen zu suchen. Falls Gobuster versteckte Ordner oder Dateien entdeckt (z. B. /admin, /backup), werden sie in der Ausgabe angezeigt. ## Arten von Attacken ### Reconnaissance Attacken Sind die erste Phase eines Cyberangriffs, bei der Angreifer Informationen über ein Zielsystem, Netzwerk oder Unternehmen sammeln, um Schwachstellen zu identifizieren und einen Angriff zu planen. #### Arten von Reconnaissance - Aktiv: Angreifer interagieren direkt mit dem Zielsystem oder Netzwerk, um Informationen zu sammeln, wie z.B. durch Portscanning, Ping Sweeps - Passiv: Angreifer sammeln Informationen ohne direkt mit dem Ziel zu interagieren, beispielsweise durch die Analyse öffentlich verfügbarer Daten wie DNS-Aufzählungen, Webseiten oder Social-Media-Profile ### Social Engineering Social Engineering bezeichnet eine Manipulationsmethode, die darauf abzielt, Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder bestimmte Handlungen auszuführen, die normalerweise nicht ausgeführt würden. Dabei werden oft psychologische Techniken verwendet, um das Opfer dazu zu bringen, sich selbst zu täuschen oder Sicherheitsprotokolle zu umgehen. #### Formen von Social Engineering - **Spam (Junk-Mail)**: unerwünschte E-Mails, die oft Werbung enthalten. Oft enthält Spam auch schädliche Links oder Malware. - **Phishing**: Der Angreifer täuscht vor, eine vertrauenswürdige Person oder Organisation zu sein, um persönliche oder sensible Informationen wie Passwörter oder Kreditkartennummern zu erhalten. - **Spear Phishing**: Ähnlich wie Phishing, jedoch spezifischer auf ein bestimmtes Ziel oder eine bestimmte Organisation ausgerichtet. Der Angreifer verwendet möglicherweise Informationen aus sozialen Netzwerken oder anderen öffentlichen Quellen, um die Glaubwürdigkeit seiner Nachricht zu erhöhen. - **Pharming**: Beim Pharming wird eine seriöse Website imitiert, um Benutzer zur Eingabe ihrer Anmeldeinformationen zu verleiten. - **Pretexting**: Der Angreifer erfindet eine Geschichte oder einen Vorwand, um das Opfer dazu zu bringen, Informationen preiszugeben oder bestimmte Handlungen auszuführen. Dies kann beispielsweise die Behauptung beinhalten, ein autorisierter Vertreter eines Unternehmens oder einer Behörde zu sein. - **Baiting**: Der Angreifer versucht seine Opfer mit verlockenden Angeboten oder Phishing-Ködern in die Falle zu locken, um sensible Informationen zu stehlen. Oft verwenden sie USB-Sticks oder vermeintlich kostenlose Downloads, die Malware enthalten, um Zugang zu persönlichen und finanziellen Daten zu erlangen - **Tailgaiting**: Der Angreifer verschafft sich Zugang zu einem Gebäude oder einem anderen Schutzgebiet indem er darauf wartet, dass eine autorisierte Person den Eingang öffnet und ihm folgt. - **Quid pro quo**: Betrugsmasche, bei der Cyberkriminelle ihren Opfern eine vermeintliche Leistung oder Belohnung versprechen ### Man-in-the-Middle Attacke Der Angriff tritt zwischen zwei rechtmäßig kommunizierenden Hosts auf, was es dem Angreifer ermöglicht, eine Unterhaltung mitzuhören, die für ihn normalerweise nicht zugängig sein sollte, daher der Name „Man-in-the-Middle“ **Arten von MitM Angriffen** - Rogue Access Point = Mit WLAN-Karten ausgestattete Geräte versuchen häufig, sich automatisch mit dem Zugangspunkt (Access Points) zu verbinden, der das stärkste Signal sendet. Angreifer können ihren eigenen WLAN-Zugangspunkt einrichten und in der Umgebung befindliche Geräte dazu verleiten, ihrer Domäne beizutreten. Der gesamte Netzwerkverkehr des Opfers kann dann vom Angreifer manipuliert werden. - ARP Spoofing = Wenn ein Host mit einer bestimmten IP-Adresse kommunizieren muss, greift er dabei auf den ARP-Cache zurück, um die IP-Adresse in eine MAC-Adresse aufzulösen. Ist die Adresse nicht bekannt, wird eine Anfrage nach der MAC-Adresse des Geräts mit dieser IP-Adresse angefordert - DNS Spoofing = Der Angreifer versucht, korrupte DNS-Cachedaten in einen Host einzuführen, um mit dessen Domänennamen auf einen anderen Host zuzugreifen, z. B. www.onlinebanking.com. Dies führt dazu, dass das Opfer in der Annahme, Daten an eine vertrauenswürdige Quelle zu übertragen, sensible Informationen an einen bösartigen Host sendet. **Angriffsmethoden** - Sniffing = Angreifer verwenden Paketerfassungs-Tools, um Pakete auf niedrigem Niveau zu inspizieren. - Paketinjektion = Ein Angreifer nutzt den Überwachungsmodus eines Gerätes, um bösartige Pakete in den Datenkommunikationsfluss einfließen zu lassen - Session Hijacking = Ein Angreifer kann sensiblen Datenverkehr aufspüren, um das Sitzungs-Token für einen Benutzer zu bestimmen und sich für Anfragen als der Benutzer auszugeben. - SSl Stripping = um Pakete abzufangen und die HTTPS-basierenden Adressenanfragen zu ändern, um sie auf ihren vergleichbaren HTTP-Endpunkt zu leiten, was den Host zwingt, unverschlüsselte Anfragen an den Server zu senden. Sensible Informationen können im Klartext freigegeben werden. Quelle: [^4] [^4]: [rapid.com](https://www.rapid7.com/de/cybersecurity-grundlagen/man-in-the-middle-attacks/) ### DoS und DDoS Attacken Bei einem DoS-Angriff wird ein Server gezielt mit so vielen Anfragen bombardiert, dass er die Menge der Anfragen nicht mehr bewältigen kann und den Dienst verweigert bzw. im schlimmsten Fall zusammenbricht. Bei einer sogenannten "verteilten DoS-Attacke" (DDoS) kommt anstelle eines einzelnen Angriffssystems eine Vielzahl von unterschiedlichen Systemen in einem großflächig koordinierten Angriff zum Einsatz. Durch die hohe Anzahl der gleichzeitig angreifenden Rechner sind die Angriffe besonders wirksam. **Formen von DoS-Attacken - Syn Flooding = Bei einem SYN-Flooding-Angriff werden an ein Computersystem sogenannte SYN-Pakete geschickt, die anstatt der eigenen Absenderadresse eine gefälschte im Internet erreichbare IP-Adresse tragen. Das angegriffene Computersystem versucht nun, auf die SYN-Pakete mit SYN-ACK-Paketen zu antworten. Aber weil die Absenderadresse des ersten Paketes gefälscht war, kann das System unter dieser Adresse nicht den Computer erreichen, der eine Verbindung zu ihm aufbauen wollte. Wenn nun eine große Anzahl von gefälschten SYN-Paketen eintrifft, verbraucht der angegriffene Rechner alle seine Verbindungskapazitäten auf das hoffnungslose Versenden von SYN-ACK-Paketen und ist somit von anderen Systemen aus nicht mehr zu erreichen - Ping Flooding = Beim Ping Flooding bombardiert ein Angreifer den Zielrechner mit einer gewaltigen Menge von sogenannten Pings. Dieser ist dann nur noch damit beschäftigt, die Pings zu beantworten (mit dem sogenannten Pong) und je nach Art, Größe und Anzahl der Pings pro Sekunde kann dies bei Rechnern mit älteren Betriebssystemen innerhalb kürzester Zeit zu einem Systemabsturz führen. - E-Mail-Bombing = Dabei wird entweder eine enorm große Nachricht in Form einer E-Mail an die Zieladresse geschickt oder die Zieladresse wird mit Tausenden von Nachrichten (E-Mails) bombardiert. Das führt zum "Verstopfen" des E-Mail-Accounts Übersicht: [^5] [^5]: [bsi.de](https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/DoS-Denial-of-Service/dos-denial-of-service_node.html) ### Buffer Overflow Attacke Ein Buffer Overflow tritt auf, wenn Daten mithilfe von Funktionen kopiert werden, die keine Längenüberprüfung vornehmen. Wird ein Puffer von einer solchen Funktion ohne Längenüberprüfung mit mehr Daten beschrieben als er aufnehmen kann, kommt es zu einem Überlauf: dem Buffer Overflow. In diesem Fall werden Speicherbereiche überschrieben, die für andere Zwecke reserviert sind und nicht zu diesem Puffer gehören. Übersicht: [^6] [^6]: [prosec.com](https://www.prosec-networks.com/blog/buffer-overflow-angriff/) ### Cross-Site-Scripting Cross-Site-Scripting (XSS) ist ein an Webanwendungen gerichteter Sicherheitsangriff über Code-Injektion, die schädliche Client-seitige Skripts an den Webbrowser eines Benutzers zur Ausführung sendet. Wenn ein ahnungsloser Benutzer beispielsweise eine kompromittierte Website aufruft, wird zu diesem Zeitpunkt das bösartige Skript des Angreifers geladen und im Browser des Benutzers ausgeführt. Dies kann zu Abzug/Diebstahl sensibler Daten, Sitzungs-Hijacking und vielem mehr führen. **Arten von XSS** - Reflected XSS = Ein reflektierter XSS-Angriff verwendet eine anfällige Website, die die Daten (d. h. ein bösartiges Script) entgegennimmt, die ihr vom Webbrowser der Zielperson zugesandt werden, um dann das Ziel anzugreifen. - Persistent XSS = ein persistenter XSS-Angriff wird auf dem anfälligen Server selbst gespeichert/gelagert. - Dom-Based XSS = Die Webseite/App verfügt über anfällige Client-seitige Skripts, die das bösartige Skript an den Browser der Zielperson liefern. Übersicht: [^7] [^7]: [rapid7.com](https://www.rapid7.com/de/cybersecurity-grundlagen/cross-site-scripting/) ### Verteidigung gegen Malware #### Honeypot Ein Honeypot ist ein Täuschungsmechanismus, der Cyberangreifer gezielt in eine kontrollierte, isolierte Umgebung lockt. Er dient zwei Hauptzwecken: - Ablenkung: Lenkt Angreifer von echten, kritschen Systemen weg - Analyse & Verteidigung: Ermöglicht den Sicherheitsteams, die Angriffsmuster zu studieren um gezielt Patches & Abwehrmaßnahmen zu entwickeln #### Aktuelle Software einsetzen - Malware nutzt Schwachstellen in der Software aus. - im Betriebssystem -> regelmäßig bereitgestellte Patches einspielen - in den Anwendungen -> oft ohne Updates - Schwachstellen auf Anwendungsebene bilden das größte Risiko. #### Einsatz von Antivirus-Programmen - erfassen oft nur gängige Formen von Malware. - Voraussetzung sind aktuelle Signaturen. Eine Signatur ist wie ein Fingerabdruck eines Schadcodes ### Gegen E-Mail- und Browser-Angriffe #### Schutz vor Spam - Filtern von E-Mail, Schulen der Benutzer im vorsichtigen Umgang mit unbekannten E-Mails und die Verwendung von Host-/Serverfiltern. #### Minimierung der Auswirkungen von Spam - Filtern von Spam-Nachrichten durch den ISP bevor diese den Posteingang des Benutzers erreichen. Viele Antivirus- und E-Mail-Softwareprogramme filtern E-Mails automatisch. Dabei identifizieren und löschen sie Spam in einem E-Mail-Postfach. ## Schutzziele (CIA) #### Vertraulichkeit (Confidentiality) - Schutz gegen unautorisierte Kenntnisnahme. - Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherten Daten, wie auch während der Datenübertragung #### Integrität (Integrity) - Schutz gegen unautorisierte, unerkannte Veränderung - Daten dürfen nicht von Unbefugten gelöscht oder manipuliert werden. - Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein. #### Verfügbarkeit (Availability) - Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmen gewährleistet sein. ### Weitere Schutzziele #### Zurechenbarkeit (accountability) - Gegenüber Dritten soll der Empfänger nachweisen können, dass Instanz x die Nachricht y gesendet hat. - Der Urheber einer Nachricht muss eindeutig nachweisbar sein. #### Authentizität (authenticity) - Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts. ## Verschlüsselungen ### Symmetrische Verschlüsselung Symmetrische Verschlüsselung ist ein Verfahren, bei dem derselbe Schlüssel sowohl zum Verschlüsseln als auch zum Entschlüsseln von Daten verwendet wird. Dies bedeutet, dass sowohl der Sender als auch der Empfänger denselben Schlüssel kennen müssen, um die verschlüsselte Nachricht zu lesen. **Vorteile**: 1. Schnelligkeit: Symmetrische Verschlüsselungsalgorithmen sind in der Regel sehr schnell, da sie weniger komplexe Berechnungen erfordern als asymmetrische Verschlüsselungsalgorithmen. 2. Effizienz: Da derselbe Schlüssel zum Verschlüsseln und Entschlüsseln verwendet wird, ist das Verfahren effizienter und erfordert weniger Ressourcen im Vergleich zur asymmetrischen Verschlüsselung. 3. Geringerer Overhead: Symmetrische Verschlüsselung hat einen geringeren Overhead, da sie keine öffentlichen und privaten Schlüssel austauschen muss wie bei der asymmetrischen Verschlüsselung. **Nachteile**: 1. Schlüsselverteilung: Das Hauptproblem bei der symmetrischen Verschlüsselung ist die sichere Verteilung des gemeinsamen Schlüssels an den Sender und den Empfänger. Dies kann eine Herausforderung darstellen, insbesondere wenn die Kommunikation über unsichere Kanäle erfolgt. 2. Skalierbarkeit: Symmetrische Verschlüsselung ist weniger skalierbar als asymmetrische Verschlüsselung, da für jede Paarung von Sender und Empfänger ein separater gemeinsamer Schlüssel erforderlich ist. 3. Vertrauen: Da derselbe Schlüssel zum Verschlüsseln und Entschlüsseln verwendet wird, müssen der Sender und der Empfänger einander vertrauen, dass der Schlüssel sicher gehalten wird und nicht in die Hände von Unbefugten gelangt. ### Asymmetrische Verschlüsselung Die asymmetrische Verschlüsselung, auch bekannt als Public-Key-Kryptographie, ist ein Verfahren zur Verschlüsselung und Entschlüsselung von Daten, bei dem zwei verschiedene Schlüssel verwendet werden: ein öffentlicher Schlüssel und ein privater Schlüssel. Jeder Benutzer hat ein Paar von öffentlichen und privaten Schlüsseln, wobei der öffentliche Schlüssel zum Verschlüsseln von Daten verwendet wird und der private Schlüssel zum Entschlüsseln. **Vorteile**: 1. Sicherheit: Asymmetrische Verschlüsselung bietet ein höheres Maß an Sicherheit als symmetrische Verschlüsselung, da der private Schlüssel niemals offengelegt wird und nur der rechtmäßige Besitzer Zugriff darauf hat. 2. Schlüsselverteilung: Da der öffentliche Schlüssel frei verteilt werden kann, ist kein sicherer Kanal zur Schlüsselverteilung erforderlich, was die Implementierung und Verwendung erleichtert. **Nachteile**: 1. Leistung: Asymmetrische Verschlüsselungsalgorithmen sind in der Regel langsamer als symmetrische Verschlüsselungsalgorithmen aufgrund der höheren Komplexität der Berechnungen, insbesondere bei der Verarbeitung großer Datenmengen. 2. Schlüsselgröße: Die Schlüssellänge bei asymmetrischer Verschlüsselung ist im Allgemeinen größer als bei symmetrischer Verschlüsselung, was zu größeren Schlüsselgrößen und einem höheren Speicherbedarf führen kann. 3. Skalierbarkeit: Asymmetrische Verschlüsselung ist weniger skalierbar als symmetrische Verschlüsselung, da für jede Benutzerpaarung ein separates Schlüsselpaar erforderlich ist, was zu einer größeren Anzahl von Schlüsseln führen kann, die verwaltet und gespeichert werden müssen. ## Hash-Verfahren Ein Hash-Verfahren, auch bekannt als Hashfunktion, ist eine mathematische Funktion, die dazu dient, eine beliebige Eingabedatenmenge in eine feste Ausgabedatenmenge zu transformieren. Diese Ausgabe wird oft als "Hashwert" bezeichnet. Der resultierende Hashwert ist eine feste Länge von Bits oder Bytes, die den Eingabedaten entsprechen. Dieser Hashwert wird normalerweise als eine Zeichenkette von Hexadezimalzahlen dargestellt. **Eigenschaften** Eine sichere Hashfunktion sollte bestimmte Eigenschaften aufweisen, wie z.B. Einwegfunktion (es ist praktisch unmöglich, von einem Hashwert auf die ursprüngliche Eingabe zurückzuschließen), Kollisionssicherheit (es ist extrem unwahrscheinlich, dass zwei verschiedene Eingaben denselben Hashwert erzeugen) und den Avalanche-Effekt (eine kleine Änderung in der Eingabe sollte eine erhebliche und nicht vorhersehbare Änderung im Hashwert bewirken). **Hash-Algorithmen** - MD5 (Message Digest Algorithm 5): Veraltet, da anfällig für Kollisionen. - SHA-1 (Secure Hash Algorithm 1): Ebenfalls unsicher wegen Kollisionsanfälligkeit. - SHA-256 / SHA-512: Teil der SHA-2-Familie, weit verbreitet und sicherer. - bcrypt, scrypt, Argon2: Speziell für die sichere Passwort-Hashing entwickelt, mit Schutz gegen Brute-Force-Angriffe. **Beispiel** Ein einfaches Beispiel für die Anwendung einer Hashfunktion ist die Speicherung von Passwörtern in einer Datenbank. Anstatt das Passwort selbst zu speichern, wird der Hashwert des Passworts in der Datenbank gespeichert. Wenn ein Benutzer sich anmeldet, wird das eingegebene Passwort "gehasht" und mit dem in der Datenbank gespeicherten Hashwert verglichen. Auf diese Weise bleibt das Passwort geheim, da es nie direkt gespeichert wird, und gleichzeitig wird die Authentifizierung des Benutzers ermöglicht. ## Die drei Säulen der Cybersicherheit: Bedrohung, Schwachstelle und Risiko ### 1. Bedrohung (Threat) Eine Bedrohung ist jedes Ereignis oder jede Handlung, die potenziell Schaden an einem System, einer Organisation oder einer Person anrichten kann. Sie kann sowohl absichtlich (z.B. durch einen Hackerangriff) als auch unbeabsichtigt (z.B. durch menschliches Versagen) auftreten. Bedrohungen können aus verschiedenen Quellen kommen, wie zum Beispiel: - Externe Angreifer (z.B. Hacker, Cyberkriminelle) - Interne Bedrohungen (z.B. unzufriedene Mitarbeiter oder Fehler von Angestellten) - Naturkatastrophen (z.B. Erdbeben, Überschwemmungen) - Technische Fehler (z.B. Systemausfälle oder Softwarefehler ### 2. Schwachstelle (Vulnerability) Eine Schwachstelle ist eine Sicherheitslücke oder ein Defekt in einem System, einer Anwendung oder einer Infrastruktur, die es einer Bedrohung ermöglicht, Schaden anzurichten. Schwachstellen können in verschiedenen Bereichen auftreten, darunter: - Softwarefehler: Sicherheitslücken, die von Angreifern ausgenutzt werden können. - Falsche Konfigurationen: Unzureichend gesicherte Systeme oder Netzwerke. - Unzureichende Zugangskontrollen: Mangelhafte Authentifizierung oder Autorisierung. ### 3. Risiko (Risk) Risiko bezieht sich auf die Wahrscheinlichkeit und den potenziellen Schaden, der durch eine Bedrohung auftreten kann, die eine Schwachstelle ausnutzt. Es ist das Produkt aus der Wahrscheinlichkeit einer Bedrohung und der Auswirkung, die diese Bedrohung haben würde, wenn sie erfolgreich ist. Zum Beispiel: - Wenn eine Schwachstelle in einem System existiert, die von Hackern ausgenutzt werden könnte (Bedrohung), und die Wahrscheinlichkeit eines Angriffs hoch ist, dann steigt das Risiko, dass die Organisation Schaden erleidet. - Wenn der potenzielle Schaden eines erfolgreichen Angriffs hoch ist (z.B. Verlust von sensiblen Daten oder finanziellen Mitteln), wird das Risiko ebenfalls als hoch eingestuft. ## SOC (Security Operations Center) ### Menschen Die Menschen im SOC sind die Fachkräfte, die aktiv an der Überwachung, Analyse und Reaktion auf Sicherheitsvorfälle beteiligt sind. Sie sind die treibende Kraft hinter der Effizienz und Wirksamkeit des SOCs. - **Level 1 Alert Analyst:** Diese Fachkräfte überwachen eingehende Warnmeldungen, überprüfen, ob ein tatsächlicher Sicherheitsvorfall vorliegt, und leiten Tickets bei Bedarf an Tier 2 weiter. - **Level 2 Incident Responder:** Diese Fachkräfte sind für die tiefgehende Untersuchung von Sicherheitsvorfällen verantwortlich und empfehlen geeignete Gegenmaßnahmen oder notwendige Schritte zur Behebung. - **Level 3 Threat Hunter:** Diese Experten verfügen über fortgeschrittene Kenntnisse in den Bereichen Netzwerk, Endpunkte, Bedrohungsaufklärung und Reverse Engineering von Malware. Sie analysieren Schadsoftware, um deren Auswirkungen zu bestimmen und die Entfernungsmöglichkeiten zu identifizieren. Zudem sind sie aktiv in der Suche nach potenziellen Bedrohungen und der Implementierung von Erkennungstools involviert. Threat Hunter identifizieren Cyberbedrohungen, die sich bereits im Netzwerk befinden, aber noch nicht entdeckt wurden. - **SOC-Manager:** Diese Führungskraft verwaltet alle Ressourcen des Security Operations Centers (SOC) und fungiert als zentrale Ansprechperson für das Unternehmen oder die Kunden. Übersicht: [^8] [^8]: [paloaltonetworks.de](https://www.paloaltonetworks.de/cyberpedia/soc-roles-and-responsibilities) ### Prozesse Die Prozesse im SOC stellen sicher, dass alle Aktivitäten organisiert, standardisiert und effizient durchgeführt werden, um Sicherheitsvorfälle zeitnah und korrekt zu behandeln. - **Alarm- und Vorfallmanagement:** Festgelegtes Verfahren zur Behandlung eingehender Alarme und Vorfälle. - **Incident Response (IR):** Vorgehensweisen zur Untersuchung und Behebung von Sicherheitsvorfällen. - **Bedrohungsanalyse:** Identifikation und Untersuchung von potenziellen Bedrohungen sowie deren Analyse, um geeignete Schutzmaßnahmen zu ergreifen. - **Forensische Untersuchungen:** Sammlung und Analyse von Beweismaterial nach einem Vorfall, um die Ursachen zu ermitteln und Präventionsmaßnahmen abzuleiten. - **Berichterstattung und Kommunikation:** Klare Verfahren zur Dokumentation von Vorfällen und zur Kommunikation der Ergebnisse an relevante Stakeholder. ### Technologien Technologische Tools und Systeme unterstützen die Arbeit der SOC-Mitarbeiter und automatisieren viele der täglichen Aufgaben. Sie sind unerlässlich, um die Effizienz zu steigern und die Skalierbarkeit des SOCs zu gewährleisten. - **SIEM (Security Information and Event Management):** Sammeln und Analysieren von Sicherheitsdaten aus verschiedenen Quellen (Logs, Netzwerke, Systeme). - **SOAR (Security Orchestration, Automation, and Response):** Ein System, das Orchestrierung, Automatisierung und Reaktion auf Sicherheitsvorfälle miteinander kombiniert. SOAR hilft dabei, Sicherheitsoperationen zu optimieren, indem es Vorfälle automatisch erfasst, analysiert und darauf reagiert, oft durch vordefinierte Workflows und Automatisierung. Dies reduziert den manuellen Aufwand und beschleunigt die Reaktionszeit, was besonders in hochdynamischen Bedrohungsumgebungen wichtig ist. - **IDS/IPS (Intrusion Detection/Prevention Systems):** Systeme zur Überwachung und Erkennung von unbefugtem Zugriff oder Angriffen auf das Netzwerk. - **Endpoint Detection and Response (EDR):** Tools zur Überwachung und Reaktion auf Bedrohungen auf Endgeräten. - **Threat Intelligence:** Plattformen und Datenfeeds, die Informationen über bekannte Bedrohungen liefern. Übersicht: [^9] [^9]: [paloaltonetworks.de](https://www.paloaltonetworks.de/cyberpedia/what-is-a-soc#solutions) ### KPI (Key Performance Indicators) - **1. Mean Time to Detect (MTTD)** Misst die durchschnittliche Zeit, die vergeht, bis das SOC-Team einen Vorfall oder eine Sicherheitsverletzung entdeckt hat. - **2. Mean Time to Respond (MTTR)** Misst die durchschnittliche Zeit zwischen der Erkennung eines Vorfalls und dessen vollständiger Behebung durch das SOC-Team. - **3. Mean Time to Restore Service (MTRS)** Misst die durchschnittliche Zeit von der Fehlererkennung bis zur vollständigen Wiederherstellung des Service. Übersicht: [^10] [^10]: [splunk.com](https://www.splunk.com/de_de/blog/learn/soc-metriken.html) --- *[DoS]: Denail of Service *[MiTM]: Man in the middle *[MTTR]: Mean Time to Respond