11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme

11.11.2004 Internet-Sicherheit (1) 1

Internet-Sicherheit (1)

Teil 1:Schutz der lokalen

Daten und Systeme

Themen Bedeutung von Internet-Sicherheit Hauptrisiken bei Internet-Nutzung Möglichkeiten und Grenzen von

Firewalls, Viren- und E-Mail-Scannern

BSI/DATech-Vorschläge zu Internet-Sicherheitsmaßnahmen

Der Referent:Wolfgang Redtenbacher Leiter der BSI/DATech-

Arbeitsgruppe „Internet-Sicherheit“(BSI = Bundesamt für Sicherheit in der Informationstechnik, DATech = Deutsche Akkreditierungsstelle für Technik)

Mitglied der IETF-Arbeitsgruppen „Open PGP“ und „S/MIME“(IETF = Internet Engineering Task Force)

Wie wichtig ist Sicherheit? Ca. 9 neue Viren pro Tag, ca. 2-5 neu

entdeckte Sicherheitslücken pro Woche 1 großer Befall alle 2-6 Monate (Melissa,

ILoveYou, CodeRed, SirCam, Klez, MyDoom, Sober, ..., Bugbear, Bagle)

Jede 3. deutsche Firma erlitt im letzten Jahr Schäden durch Viren, Würmer oder Trojaner

Klez.H verursachte ca. 9 Milliarden Dollar Schaden

Hauptrisiken bei Internet-Nutzung als Client Unzureichend abgeschirmte

Transportschicht (Hacker kann sich einwählen)

Browserfehler, die von bösartigen WWW-Seiten ausgenutzt werden

E-Mail-Software, die „aktive Inhalte“ beim Empfang ausführt oder Viren ins Netz lässt

Hauptrisiken – aktuelle Beispiele für Schadsoftware Unzureichend abgeschirmte

Transportschicht: Sasser-Wurm Browserfehler: Pado-Load-A

(www.superdelotto.com) „Aktive“ Mail-Inhalte: Bugbear,

Bagle, ...

Was leistet eine Firewall? Beschränkt Verbindungen auf

freigegebene Dienste und Adressen Anrufer müssen sich

authentifizieren Lehnt „unangeforderte“

Datenpakete ab=> Schützt die Transportschicht

Was leistet ein Virenscanner? Prüft Festplatten-/Disketteninhalte

auf bekannte Viren Prüft ggf. E-Mails auf (bekannte)

Viren, bevor sie ins Postfach gelassen werden

Nimmt hinsichtlich neuer Viren gewisse Plausibilitätsprüfungen vor

=> Schützt vor bekannten Viren („Räuber- und Gendarm“-Spiel)

BSI/DATech-Vorschläge zu Internet-Sicherheitsniveauswww.datech.de/share/files/Pruefbaustein_Internet-Sicherheit.pdf

Beschränkung auf Internetzugang als Client und bekannte „Engpässe“

=> überschaubar Stufenweise Verbesserung

durch 2 Sicherheitsniveaus

Stufenweise Verbesserung durch 2 Sicherheitsniveaus Stufe 1: Einstieg, leicht

durchführbar, „kostenlose“ Maßnahmen

Stufe 2: „solides“ Schutzniveau, kann jedoch Kosten oder Komforteinschränkungen verursachen

A. Empfehlungen zum Schutz der Transportschicht Stufe 1: Internet-Zugang aus dem

LAN heraus wird durch Deinstallation oder (Personal) Firewall auf E-Mail und Surfen beschränkt

Stufe 2: Zentrale Maßnahme (Firewall/Router o.ä.) stellt Beschränkung auf E-Mail+Surfen in personenunabhängiger Form sicher

Transportschicht – Umsetzungsbeispiel (Stufe 2) Zentrale(r) Router/Firewall lässt

nur Ports 25/80/110 durch (= E-Mail + Surfen)

oder: „Versiegelbare“ Personal Firewall

(Bsp.: Agnitum Outpost Professional) an den Arbeitsplätzen gibt nur Ports 25/80/110 frei

B. Empfehlungen zum Schutz des Surfens Stufe 1: Nur Browser mit „guter“

Sicherheitshistorie (oder Wegfilterung „aktiver Inhalte“)

Stufe 2: Zentrale Maßnahme (Firewall/Proxy-Server o.ä.) filtert „aktive Inhalte“ aus HTTP-Datenströmen im LAN; unbeschränktes Surfen nur von „Freiwild-PCs“

Surfen –Umsetzungsbeispiel (Stufe 2) Firewall oder Proxy-Server entfernt

„aktive Inhalte“ (= <SCRIPT>-, <OBJECT>- und <APPLET>-Elemente, Event-

Handler und JavaScript-Links) beim Surfen aus dem LAN

Für unbeschränktes Surfen stehen „Freiwild-PCs“ zur Verfügung

Surfen –Was sind „Freiwild-PCs“?

PCs zum unbeschränkten Surfen, die:

physisch vom LAN getrennt sind (eigene Zentraleinheit oder spez. Einsteckkarte) und

keine schützenswerten Daten enthalten (Festplatteninhalt kann jederzeit auf den Ausgangszustand zurückgesetzt werden)

Surfen – Umsetzungsbeispiele für Freiwild-PCsJe nach Häufigkeit des Surfens: Ein oder mehrere getrennte Surf-PCs

(z.B. Bibliotheks-PCs) Schlüsselpersonen erhalten „Dual-

PCs“ (2 Zentraleinheiten mit Konsolenumschalter)

Direkter Zugriff aus dem LAN über (Firewall-geschützte!) Fernwartung auf Bildschirminhalte eines Surf-PC-Pools

C. Empfehlungen zum Schutz des E-Mail-Verkehrs Stufe 1: Nutzung eines E-Mail-

Clients, der keine „aktiven Inhalte“ (Java, JavaScript, ActiveX) ausführt

Stufe 2: Maßnahmen zur Verhinderung der (versehentlichen) Ausführung von E-Mail-Anlagen (.EXE, .PIF, .DOC usw.) per Mausklick

E-Mail - Umsetzungsbeispiel (Stufe 2) E-Mail-Client enthält wirksame

Schutzmechanismen gegen gefährliche Dateianlagen (Bsp.: KT-Mail)

oder: Gateway-Lösung schützt E-Mail-

Verkehr zentral

E-Mail – Produktbeispiele für zentralen Gateway-Schutz Sanitizer (Open Source –

Schutz eingeschränkt für Windows 2000/XP-

Clients) GFI MailSecurity Hummingbird Content-

Management-System KT-Mail/Filter-Gateway

Arbeitsweise desKT-Mail/Filter-Gateways Lässt harmlose Bestandteile

(Texte, Grafiken) durch Säubert automatisch potentiell

gefährliche Formate, wo möglich (HTML, DOC usw.)

Stellt sonstige potentiell gefährliche Formate in Quarantäne

21Internet-Sicherheit (1)11.11.2004

End-benutzer

KT-Mail/Gateway

Verbindungzum Internet

HarmloserRest-Inhalt

GefährlicheE-Mail?

Bild: Gateway-Aktion bei pot. gefährlichen E-Mail-Inhalten

Warn-Hinweis anEDV-Betreuer

Besonderheiten desKT-Mail/Filter-Gateways Läuft den Viren nicht hinterher („Räuber

und Gendarm“), sondern stopft gleich die grundlegenden Kanäle

Behandelt unbekannte Formate als potentiell gefährlich (keine Anfangslücke bei neuen Viren)

Kann häufige Formate (DOC, HTML usw.) automatisch säubern (dadurch Quarantäne nur selten nötig)

11.11.2004Internet-Sicherheit (1)1 Teil 1: Schutz der lokalen Daten und Systeme

Documents

Midi Sicherheits-Kit PRO FullHD 1080P TX-51 ... · v Wichtige Sicherheitshinweise und Warnungen 1．Elektrische Sicherheit Alle Installationen und Vorgänge hier sollten Ihren lokalen

Sicheres Arbeiten in Laboratorien - asecos.com · Laboratorien vormals Richtlinien für Laboratorien Fassung August 2008 ... Schutz von Gesundheit und Sicherheit der Arbeitnehmer

Sicherheit SICHERHEIT UND SCHUTZ · 2018. 1. 18. · Sicherheit nicht gibt, ist bei jedem Alpsteg Fenster Grundsicherheit als Standard eingebaut. Für höhere Sicherheitsbedürfnisse

Videoüberwachung Vidéosurveillance · René Koch AG Videoüberwachung Vidéosurveillance Übersicht, Sicherheit, Schutz, Prävention, Qualitätskontrolle – Video unterstützt

Programmübersicht Sicherheit im System: Schutz für Mensch ... › download...4 Historie Meilensteine 1945 – 2016 Inbetriebnahme des neuen Zentrallagers 2013 Schmersal Brasilien

Produktbroschüre Samsung Knox: mobile Sicherheit für Ihr ... · Einführung Samsung Knox – Sicherheit auf allen Ebenen 03 Knox-Plattform – Schutz ab dem ersten Einschalten 04

Schutz vor Einbruch und Brand PRODUKTKATALOG · Ladenbau Wissenschaftliches Institut des Handels Allianz für Sicherheit in der Wirtschaft Baden-Württemberg e.V. Beim Thema Sicherheit

Informationen zur Prüfung der Servicekräfte für Schutz und ... · GF | Aus-und Weiterbildung | Ausbildungsprüfungen Schutz und Sicherheit Ausbildungsdauer Ausbildungsablauf Servicekraft

Schutz und Sicherheit - d-nb.info

Schutz und Sicherheit für Anlagen, Maschinen und Embedded Systeme

Sicherheit bei der Tablettenverpackung - gmc-instruments.ch · Blister-Verpackungen dienen dem Schutz der Arzneimittel vor Umwelteinflüssen, wie Luft- feuchtigkeit, Oxidation oder

Qualität und Sicherheit im Straßenverkehr Besondere Kapitel der Verkehrsicherheit 605 Richtlinien für passiven Schutz an Straßen durch Fahrzeug-Rückhaltesysteme

Bedienungs- anleitung BM815 BM817 - elbro.com · 1 1) Sicherheit Diese Anleitung enthält Informationen und Warnungen zur Sicherheit des Bedienenden und zum Schutz des Gerätes, welche

Schutz, Sicherheit und · lass-break detector Monitor your home from your smartphone utdoor siren. Intelligente Sicherheit, einfache Montage. Die Sicherheitsprodukte von evohome lassen

Wir Nehme N ihre Sicherheit erNS t - venatorcorp.com/media/Files/V/Venator/documents/duisburg... · Schutz mit System Weil uns die Sicherheit der Nachbarn und Mitarbeiter ein grundsätzliches

nuklearmedizin - bbgn-online.debbgn-online.de/fileadmin/user_upload/documents/... · ligen Landesamt für Arbeitsschutz und technische Sicherheit, Referat Strahlen- schutz, in Person

Landesamt für Soziale Sicherheit der provinzialen und ... · Landesamt für Soziale Sicherheit der provinzialen und lokalen Verwaltungen (LSSPLV) Administrative Anweisungen für

10 Schutz und Sicherheit MGM - RWTH Aachen · Kapitel 10 - Schutz und Sicherheit 1/24 Inhaltsverzeichnis 10.1 Schutzmechanismen - Schutzbereiche - Zugriffsmatrizen - Implementierung

Sicherheit nach Maß: Governance in AWS€¦ · Aus denselben Gründen, aus denen die Bereitstellung von Infrastruktur in der Cloud Vorteile gegenüber der lokalen Bereitstellung

IT-Sicherheit in Banken: Datenschutz und sichere Ge ... Sicherheit in Banken_3602_t_68-67061.pdf · sind wohl die ISO27001/27002 Norm sowie der BSI-Grund- schutz vom Bundesamt für