IT-Sicherheit ECDL Standard-Modul

Lesepr

obe

IT-Sicherheit ECDL Standard-Modul

Hans-Rudolf Wenger

Wings Lernmedien Chaltenbodenstrasse 4a CH – 8834 Schindellegi

+41 43 888 21 51

info@wings.ch www.wings.ch

Ihr Partner für erfolgreiches Lernen.

Version 2016 A Autor: Hans-Rudolf Wenger Art. Nr. 11412.16SG gebunden 11412.16FG Farbdruck, gebunden DDateien für die Übungen finden Sie auf unserer Homepage

Copyright © 2016 Wings Lernmedien, alle Rechte vorbehalten. Diese Kursunterlagen sind urheberrechtlich geschützt. Die Vervielfältigung der Texte und Bilder, auch auszugsweise, ist ohne schriftliche Zustimmung von Wings Lernmedien urheberrechtswidrig und strafbar. Auch Übersetzungen, Mikroverfilmung und Verarbeitung mit elektronischen Systemen sind ohne ausdrückliche Zustimmung von Wings Lernmedien nicht erlaubt. Layout: Room for Ideas, Zürich – Umschlag: nicolas vontobel, werbung

ECDL IT-Sicherheit

Copyright © Wings Lernmedien

Inhaltsverzeichnis

1 Vorwort 1

1.1 Erläuterungen zum Lehrmittel 2 1.2 Erläuterungen zum Inhalt 2 1.2.1 ECDL – Ein Standard 2 1.2.2 Übersicht ECDL Standard 2 1.2.3 ECDL Standard-Modul «IT-Security» 3

2 Grundbegriffe zur Sicherheit 5

2.1 Datenbedrohung 6 2.1.1 Zwischen Daten und Informationen unterscheiden 6 2.1.2 Daten und Informationen 6 2.1.3 Cybercrime (Computerkriminalität) 6 2.1.4 Hacking, Cracking verstehen 7 2.1.5 Bedrohung für Daten durch höhere Gewalt 8 2.1.6 Bedrohung für Daten durch die Cloud 8 2.1.7 Menschliche Fehler 8 2.2 Wert von Informationen 9 2.2.1 Schutz der persönlichen Daten 9 2.2.2 Sensible Firmendaten schützen 10 2.2.3 Rechtliche Grundlagen für Datenschutz 11 2.2.4 Sicherheitsstrategien und Richtlinien 11 2.2.5 Allgemeine Grundsätze für Datenschutz 12 2.3 Persönliche Sicherheit 13 2.3.1 Social Engineering 13 2.3.2 Identitätsdiebstahl und Identitätsmissbrauch 14 2.3.3 Methoden des Identitätsdiebstahls 15 2.4 Sicherheit für Dateien 16 2.4.1 Makro-Sicherheitseinstellungen verstehen 16 2.4.2 Makrosicherheitseinstellungen und ihre Auswirkungen 17 2.4.3 Vorteile und Grenzen der Daten-Verschlüsselung 18 2.4.4 Datei, Ordner oder Laufwerk verschlüsseln 19 2.4.5 Dateien mit einem Passwort schützen 21 2.5 Repetitionsfragen – Grundbegriffe zur Sicherheit 22

3 Malware 23

3.1 Definition und Funktionsweise 24 3.1.1 Was ist Malware? 24 3.1.2 Möglichkeiten zum Verbergen von Malware kennen 24 3.1.3 Malware-Typen 25 3.2 Schutz vor Malware 27 3.2.1 Funktionsweise und die Grenzen von Antiviren-Software 28 3.2.2 Antiviren-Software verwenden 30 3.2.3 Software-Updates und Virensignaturen 31 3.3 Repetitionsfragen – Malware 31

ECDL IT-Sicherheit

Copyright © Wings Lernmedien

4 Sicherheit im Netzwerk 33

4.1 Netzwerke 34 4.1.1 Netzwerktypen 34 4.1.2 Die Aufgaben der Netzwerk Administration verstehen 35 4.2 Firewall 36 4.2.1 Die Funktion und die Grenzen einer Firewall 36 4.3 Netzwerkverbindungen 40 4.3.1 Möglichkeiten zur Verbindung mit einem Netzwerk 40 4.3.2 Netzwerk- und Datensicherheit 42 4.4 Sicherheit im drahtlosen Netz 45 4.4.1 Drahtlose Netze mit einem Passwort schützen 46 4.4.2 Verschiedene Verfahren zum Schutz von drahtlosen Netzwerken 46 4.4.3 Gefahr eines ungeschützten drahtlosen Netzwerkes 47 4.4.4 Verbindung zu einem drahtlosen Netzwerk herstellen 47 4.4.5 Persönlicher Hotspot 48 4.5 Zugriffskontrolle 49 4.5.1 Anmeldung mit Benutzername und Passwort 49 4.5.2 Richtlinien für ein gutes Passwort 49 4.5.3 Passwort Verwaltungssoftware 50 4.5.4 Multi-Faktor-Authentifizierung 50 4.5.5 Biometrische Verfahren zur Zugangskontrolle 51 4.6 Repetitionsfragen – Sicherheit im Netzwerk 52

5 Sichere Web-Nutzung 53

5.1 Browser verwenden 54 5.1.1 Wann brauche ich einen sicheren Webzugang? 54 5.1.2 Merkmale einer sicheren Website 54 5.1.3 Pharming 54 5.1.4 Einmal-Kennwort 55 5.1.5 Kriterien einer vertrauenswürdigen Website 55 5.1.6 Einstellungen zu Formulardaten aktivieren/deaktivieren 57 5.1.7 Temporäre Internetdateien speichern und löschen 59 5.1.8 Cookies 62 5.1.9 Spuren im Browser löschen 68 5.2 Software zur Inhaltskontrolle kennen 70 5.2.1 Filter (Tracking-Schutz) 70 5.2.2 Filter (ActiveX-Filterung) 72 5.2.3 Kindersicherung (Jugendschutz) 72 5.3 Soziale Netzwerke 76 5.3.1 Gefahren im sozialen Netzwerk kennen 76 5.3.2 Privatsphäre schützen 77 5.3.3 Gefahren von sozialen Netzwerken 81 5.4 Repetitionsfragen – Sichere Web Nutzung 82

6 Kommunikation 83

6.1 Kürzel 84 6.2 E-Mail 84 6.2.1 E-Mail-Verschlüsselung und Digitale Signatur 84 6.2.2 Arglistige und unerwünschte E-Mails 85 6.2.3 Phishing (gefälschte Webseiten) 86

ECDL IT-Sicherheit

Copyright © Wings Lernmedien

6.2.4 Attachments 88 6.3 Instant Messaging 88 6.3.1 Was ist Instant Messaging (IM) 88 6.3.2 Schwachstellen bei der Sicherheit von IM 89 6.3.3 IM Vertraulichkeit sicherstellen 89 6.3.4 Kommunikation auf Mobilen Geräten 91 6.4 Repetitionsfragen – Kommunikation 94

7 Sicheres Daten-Management 95

7.1 Daten sichern und Backups erstellen 96 7.1.1 Massnahmen zur physischen Sicherung von Geräten 96 7.1.2 Sicherungskopie (Backup) 96 7.1.3 Konzept zur Datensicherung 96 7.1.4 Backup erstellen 98 7.1.1 Sichern wie unter Windows 7 102 7.1.2 Systemwiederherstellung 108 7.2 Sichere Datenvernichtung 109 7.2.1 Sinn und Zweck einer endgültigen Vernichtung von Daten 109 7.2.2 Unterschied zwischen Löschen und Vernichtung von Daten 110 7.2.3 Methoden zur endgültigen Vernichtung von Daten 111 7.2.4 Das Löschen von Daten in sozialen Netzwerken und Cloud-Diensten 113 7.3 Repetitionsfragen – Sicheres Daten-Management 114

Index 115

ECDL IT-Sicherheit

Copyright © Wings Lernmedien 1

Dieses Lehrmittel eignet sich als Lehrgang, indem Sie es fortlaufend durcharbeiten. Dank dem Index am Dokumentende dient es auch als Nachschlagewerk. Nach der Behandlung neuer Lernziele erscheinen geeignete Repetitionsfragen. So können Sie Ihre Kenntnisse kontrollieren.

1 Vorwort

1.1 Erläuterungen zum Lehrmittel 2

1.2 Erläuterungen zum Inhalt 2 1.2.1 ECDL – Ein Standard 2 1.2.2 Übersicht ECDL Standard 2 1.2.3 ECDL Standard-Modul «IT-Security» 3

ECDL IT-Sicherheit

2 Copyright © Wings Lernmedien

1.1 Erläuterungen zum Lehrmittel

Darstellung von Tasten, Tastenkombinationen und Be-fehlen

Spezielle Tasten <Tab>, <Shift>, Tabulator, Umschalten Steuerung, Eingabe etc.

Tastenkombinationen <Ctrl>, <Enter> Beispiel: Bei gedrückter Taste <Ctrl> wird zusätzlich C gedrückt.

Befehle, Kontextmenü-Befehle

Start, Schriftart, Schrift-farbe

Befehlsfolge: A Register B Gruppe C Befehl

1.2 Erläuterungen zum Inhalt

1.2.1 ECDL – Ein Standard

Ursprünglich eine europäische Initiative mit dem Ziel, einen einheitlichen Standard für die Informatik-Anwen-dung in Europa zu schaffen, hat sich die ECDL weit über die Grenzen Europas hinaus verbreitet und er-freut sich mittlerweile weltweit hoher Anerkennung.

1.2.2 Übersicht ECDL Standard

Der ECDL Standard besteht aus den vier Base sowie aus drei frei wählbaren Standard Modulen. Mit dem gesamten Umfang von ECDL Standard weisen Sie nach, dass Sie:

Weltweit gebräuchliche Anwendungen beherrschen und das Werkzeug Computer effi-zient nutzen können. Mit den Weiterentwicklungen in der Informationstechnologie mühelos Schritt halten können und über die Grundlage für weiterführende IT-Ausbildungen verfügen.

ECDL IT-Sicherheit

Copyright © Wings Lernmedien 3

1.2.3 ECDL Standard-Modul «IT-Security»

Das vorliegende Lehrmittel ist ein Teil von ECDL Standard und basiert auf dem Syllabus Version 2.0. Es dient zur Erarbeitung der Modulziele und des dazu nötigen Fachwissens. Die Lernziele sind in Kategorien und Fähigkeiten aufgeteilt.

Grundbegriffe zur Sicherheit

Datenbedrohungen kennen, den Wert von Informationen verstehen und Massnahmen zum Schutz kennen.

Malware Den Begriff Malware verstehen und die verschiedenen Typen kennen. Schutzmassnah-men treffen und diese aktuell halten.

Sicherheit im Netzwerk Die verschiedenen Netzwerktypen kennen und verstehen. Firewall und den Schutz von Drahtlosnetzwerken einrichten und die Benutzeranmeldung verstehen.

Zugriffskontrolle

Methoden zum Schutz der Daten durch Zugriffskontrolle kennen und sichere Passwörter erstellen können.

Sichere Webnutzung Den Browser richtig konfigurieren, damit die Privatsphäre gewahrt bleibt. Merkmale einer sicheren Website kennen.

Kommunikation Verstehen, weshalb ein E-Mail verschlüsselt und entschlüsselt wird.

Sichere Datenverwaltung Massnahmen zur Sicherung von Daten kennen und Backup erstellen. Daten aus einer Si-cherung wiederherstellen. Sinn und Zweck einer endgültigen Vernichtung von Daten ver-stehen.

ECDL IT-Sicherheit

Copyright © Wings Lernmedien 53

Wenn wir uns im Internet bewegen, sind wir ständig Gefahren ausgesetzt, denn die nor-male Kommunikation im Web ist offen, das heisst, die Texte, Webseitenaufrufe, etc. wer-den in Klartext übermittelt, sodass jeder, der es interessant findet, mitverfolgen kann, was im Web kommuniziert wird. Wenn eine Webseite es erlaubt und dafür programmiert ist, kann verschlüsselt gearbeitet werden, sodass die Kommunikation von Unbefugten nicht mehr eingesehen werden kann.

5 Sichere Web-Nutzung

5.1 Browser verwenden 54

5.1.1 Wann brauche ich einen sicheren Webzugang? 54 5.1.2 Merkmale einer sicheren Website 54 5.1.3 Pharming 54 5.1.4 Einmal-Kennwort 55 5.1.5 Kriterien einer vertrauenswürdigen Website 55 5.1.6 Einstellungen zu Formulardaten aktivieren/deaktivieren 57 5.1.7 Temporäre Internetdateien speichern und löschen 59 5.1.8 Cookies 62 5.1.9 Spuren im Browser löschen 68 5.2 Software zur Inhaltskontrolle kennen 70 5.2.1 Filter (Tracking-Schutz) 70 5.2.2 Filter (ActiveX-Filterung) 72 5.2.3 Kindersicherung (Jugendschutz) 72 5.3 Soziale Netzwerke 76 5.3.1 Gefahren im sozialen Netzwerk kennen 76 5.3.2 Privatsphäre schützen 77 5.3.3 Gefahren von sozialen Netzwerken 81 5.4 Repetitionsfragen – Sichere Web Nutzung 82

ECDL IT-Sicherheit

54 Copyright © Wings Lernmedien

5.1 Browser verwenden

Neben einigen weniger verbreiteten Browsern, stehen uns Mozilla Firefox, Microsoft

Edge, Internet Explorer, Google Chrome, Opera und Safari zur Auswahl, um uns im Inter-net zu bewegen. Die verschiedenen Browser können Sie auf deren Webseite herunterladen. Es ist durch-aus sinnvoll zwei bis drei Browser einzurichten. Der neue Browser Edge von Microsoft ist auf Grund seiner begrenzten Konfigurations-möglichkeiten sicherheitstechnisch nicht uneingeschränkt zu empfehlen.

5.1.1 Wann brauche ich einen sicheren Webzugang?

Je nach Ihren Tätigkeiten im Internet ist auf eine verschlüsselte Kommunikation zu ach-ten. Geben Sie niemals persönliche Informationen auf einer ungesicherten Webseite ein. Selbst Ihren Namen oder Benutzernamen, um in irgendeinen Onlineshop zu gelangen, sollten Sie nur auf einer sicheren Webseite eingeben.

5.1.2 Merkmale einer sicheren Website

Eine sichere Webseite wird durch ein s im https: gekennzeichnet und es wird ein Schloss als Symbol abgebildet. Die Webadresse wird zusätzlich grün eingefärbt. Wird die Identifi-zierung der Webseite mit einer Warnmeldung begleitet, ist grösste Vorsicht angebracht! Gehen Sie nicht leichtsinnig mit solchen Meldungen um.

5.1.3 Pharming

Pharming, eine Weiterentwicklung des klassischen Phishings, ist eine Betrugsmethode, die durch das Internet verbreitet wird. Sie basiert auf einer Manipulation der DNS-Anfra-gen von Webbrowsern, um den Benutzer auf gefälschte Webseiten umzuleiten. Der DNS-Dienst ermöglicht es uns, eine Webseite über einen Namen aufzurufen, obwohl jeder Webseite eine IP-Nummer zugrunde liegt. Pharming ist der Oberbegriff für verschiedene Arten von DNS-Angriffen. Diese Angriffe versuchen unter Zuhilfenahme eines Trojani-schen Pferdes oder eines Virus eine gezielte Manipulation des Systems vorzunehmen, mit der Konsequenz, dass von diesem System gezielt gefälschte Websites angezeigt werden, obwohl die Adresse korrekt eingegeben wurde. Benutzer können so beispiels-weise auf täuschend echt nachgebildete Seiten einer Bank geleitet werden. Durch aktualisierte und richtig konfigurierte Sicherheitssoftware (aktiver Hintergrund-wächter, aktive Firewall) sollten sich solche Manipulationen verhindern lassen.

ECDL IT-Sicherheit

Copyright © Wings Lernmedien 55

5.1.4 Einmal-Kennwort

Ein typisches Einmal-Kennwort wird im E-Banking verwendet. Dort wird nach dem ersten Einloggen meistens ein Kennwort (TAN) zur Bestätigung der Transaktion oder des Zu-griffs auf die Kontodaten angefordert. Das Kennwort kann je nach Bank anders übermit-telt werden. Per SMS, spezieller TAN-Generatoren, oder mit einer Kennwortliste die dem Bankkunden per Post zugestellt wurde. Das Kennwort alleine reicht nicht aus, um den Zugang zu den Bankdaten zu erlangen. Es gibt auch andere Situationen, bei denen ein nur einmal gültiges Passwort eingegeben werden muss. So bei den meisten Fernwartungs-Tools, damit der Techniker nach einer abgeschlossenen Fernwartung später nicht einfach auf das System zugreifen kann. Bei jeder neuen Fernwartung muss dieser sich mit einem anderen Kennwort, das der Hilfesu-chende ihm jeweils mitteilt, den Zugang aktivieren. Für den Zugang in ein öffentliches Wi-Fi-Netz erhält man nach der Angabe seiner mobilen Telefonnummer meistens auch ein einmaliges Kennwort, um den Zugang zu erhalten. Dadurch ist eine Identifikation des Nutzers über die angegebene Telefonnummer mög-lich.

5.1.5 Kriterien einer vertrauenswürdigen Website

Um die Vertrauenswürdigkeit einer Website zu beurteilen, müssen einige Kriterien beach-tet werden: Inhaltliche Qualität: Knapp zwei Drittel der Internetnutzer schätzt die Qualität als den wichtigsten Erfolgsfak-tor ein. Dass dabei die technische, als auch die inhaltliche Qualität gemeint ist zeigt, dass es auf ein sehr gutes Nutzungserlebnis und Mehrwert für die Leser ankommt. Erstellungsdatum:

Verfügt die Website über ein Erstellungsdatum? Ist ein Copyright-Datum angegeben?

Aktualität:

Wann wurde die Seite zuletzt aktualisiert oder inhaltlich überprüft? Das Datum der letzten Aktualisierung befindet sich i.d.R. am Ende einer jeden Seite. Browser-Daten sind unzuverlässig (IE: Datei, Eigenschaften // Mozilla Firefox: Extras, Seiteninformationen). Diese Daten können automatisch aktualisiert werden und sind für eine kritische Evaluation unbrauchbar. Am Datum kann oftmals abgelesen werden, ob der oder die Autor/-in noch Interesse an der Seite hat und diese pflegt. Websites können lediglich punktuell aktualisiert werden, dies bedeutet, dass sie trotz aktuellem Datum in Teilen nicht auf dem neuesten Informationsstand sind. Undatierte Fakten und Statistiken sind vergleichbar mit anonymen Informationen. Von ihrem Gebrauch ist abzuraten. Gibt es offenkundig veraltete Informationen auf der Seite?

Gültige URL: Die simpelste Methode, einen Link vor dem Anklicken auf unliebsame Überraschungen zu überprüfen, ist, mit der Maus darüber zu fahren und so die gesamte Internetadresse in Erfahrung zu bringen, die sich dahinter versteckt. Je nach Browser ist diese in der unte-ren Browserzeile bzw. im linken unteren Bildschirmeck herauszulesen.

ECDL IT-Sicherheit

56 Copyright © Wings Lernmedien

Es gibt verschiedene Webseiten, auf denen ein URL überprüft werden kann: https://vms.drweb-av.de/online/ https://safeweb.norton.com/ http://www.urlvoid.com/ Impressum (Kontaktdaten): Eine vertrauenswürdige Website beinhaltet einen Link, oder die sichtbaren Informationen:

Name des Unternehmens oder der Organisation Vorname und Name der verantwortlichen Person Vollständige Postadresse; Postfach alleine reicht nicht E-Mail-Adresse

In der Schweiz besteht eine Impressumspflicht. Sicherheitszertifikat: Mit einem Rechtsklick auf den URL einer sicheren Website und dann Details gelangen Sie zu den ausführlichen Zertifikatsinformationen.

Über View certificate wird das Zertifikat angezeigt.

ECDL IT-Sicherheit

Copyright © Wings Lernmedien 57

Domain-Inhaberschaft überprüfen: Über die Website www.domaininhaber.ch kann der Inhaber und weitere Informationen einer Domain nachgeschlagen werden. Auf der Website muss der gesuchte URL eingegeben und der Captcha eingetragen wer-den. Danach kann über den Schalter Abfragen die Information abrufen.

5.1.6 Einstellungen zu Formulardaten aktivieren/deaktivieren

Wenn wir im Internet unsere persönlichen Daten auf einer sicheren Webseite eingeben, kann es sein, dass unsere Eingaben wie von Zauberhand automatisch vorgeschlagen werden. Diese Eingabeunterstützung wird Autovervollständigung genannt. Diese Automation kann eine Sicherheitslücke darstellen, denn es werden persönliche Da-ten automatisch aufgerufen, die für einen Hacker von grossem Interesse sein könnten. Insbesondere ist auch ein Augenmerk auf das Speichern von Kennwörtern zu legen.

Auto-Vervollständigen und Kennwörter in Edge

In Edge können Sie die Autovervollständigung unter Mehr, Einstellungen, Erweiterte Ein-stellungen anzeigen, Formulareinträge speichern Ein- oder Ausschalten.

Wenn Sie Speichern von Kennwörtern anbieten ausschalten, werden keine Kennwörter gespeichert. Bereits gespeicherte Kennwörter können Sie unter Meine gespeicherten Kennwörter verwalten löschen.

Autovervollständigen und Kennwörter im

Internet-Explorer

Im Internet Explorer finden Sie die Einstellungen für diese Automation über Extras, Inter-netoptionen, Register Inhalte, Bereich AutoVervollständigenl, Einstellungen. Unter AutoVervollständigen verwenden für haben Sie die Möglichkeit verschiedene An-passungen vorzunehmen.

ECDL IT-Sicherheit

58 Copyright © Wings Lernmedien

Adressleiste A Unter Adressleiste können Sie das Verhalten des Internet Explorers bei der Eingabe von Web-Adressen, dem Suchverhalten etc. festlegen. In den meisten Fällen hinter-lassen diese Informationen keine sicherheitsrelevanten Informationen, die von Ha-ckern genutzt werden könnten. Je nach Sicherheitsanspruch können diese aber auch deaktiviert werden.

Formulare B Auf Formularen werden oft persönliche Daten eingetragen, die für Hacker durchaus interessant sein können. Daher kann empfohlen werden, diese zu deaktivieren, was dann dazu führt, dass sich die Felder nicht mehr automatisch ergänzen.

Benutzernamen und Kennwörter für Formulare

C Diese Option sollte ausgeschalten sein, da sonst die eingegebenen Passwörter im System gespeichert werden und somit für Hacker unter Umständen eingesehen werden können.

Verlauf von AutoVervoll-ständigen löschen…

D Über den Schalter Verlauf von AutoVervollständigen löschen… könne alle gespei-cherten Informationen gelöscht werden. Auf diese Einstellungen wird später detailliert eingegangen.

Kennwörter verwalten E Über den Schalter Kennwörter verwalten gelangen Sie in die Anmeldeinformations-verwaltung.

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

ECDL IT-Sicherheit

82 Copyright © Wings Lernmedien

5.4 Repetitionsfragen – Sichere Web Nutzung

Woran erkenne ich einen sicheren Webzugang?

Was ist ein digitales Zertifikat?

Was ist ein Einmal-Kennwort?

Wo kann ich das automatische Vervollständigen von Formulardaten ein- oder aus-schalten?

Weshalb sollte der Speicherplatz für temporäre Internetdateien möglichst klein gehal-ten werden?

Was sind Cookies?

Weshalb sollten Sie die Spuren in Ihrem Browser nach einer Banktransaktion löschen?

Was ist ein Tracking-Schutz?

Was für Möglichkeiten zum Jugendschutz kennen Sie?

Auf was ist bei sozialen Netzwerken für Ihre Sicherheit zu beachten?

Was ist Cyber-Grooming?