- Hochschulabschluss
- Bachelor of Science
- 2. Hochschulabschluss
- Master of Science
- Studiengang
- M.Sc. Wirtschaftswissenschaft
- ECTS Credit Points
- 60 von 120
Einsendeaufgaben EA-Besprechung WS 2012/13 EA2 41760 (01.10.2013)
- Ersteller Kiomi
- Erstellt am
Münchner Kindl
Tutorin und Forenadmin
Hier mein Lösungsvorschlag:
Aufgabe 1a)
C
"Verfügbarkeit", KE5, S. 10-11
Aufgabe 1b)
D
"Vertraulichkeit", KE5, S. 11
Aufgabe 1c)
B
"Verbindlichkeit", KE5, S. 12: erwähnt die Signatur
Wiki-Artikel "elektronische Signatur" erwähnt Integrität
Aufgabe 1d)
D
Wiki-Artikel "Public-Key-Infrastruktur"
Aufgabe 2a)
KE5, S. 14, Abbildung 4
1. Ergänzende Sicherheitsanalyse
2. Ergänzende Risikoanalyse
3. Basis-Sicherheitscheck II
Aufgabe 2b)
Wenn man den Netzplan am Computer zeichnen will, braucht man entweder MS-Visio oder eine andere Software.
Beispiel KE5, S. 18, Abb. 5: https://www.bsi.bund.de/DE/Themen/w...z/strukturanalyse/Netzplan/netzplan_node.html
→ Netzplan aus Abb. 5 konsolidiert, Bild fehlt im Skript: https://www.bsi.bund.de/DE/Themen/w...lan/BeispielGruppen/beispielgruppen_node.html
Aufgabe 2c)
Keine gute Idee, Verbindung nicht gesichert, Gefahr des Einschleppen von Viren
Aufgabe 3a)
KE5, S.23-24
besser erklärt (auf Englisch), auf S. 14 und dann beim jeweiligen alphabetischen Eintrag jedes Begriffs: http://www.citicus.com/docs/citicus_one_risk_glossary.pdf
Aufgabe 3b)
KE5 S. 33-34
ACHTUNG: Schadenshöhe hier ist falsch, neuer Lösungsvorschlag unten in Beitrag 6!
Aufgabe 3c)
http://www.ecc-handel.de/News/news-...ernehmen---Vom-sicheren-Umgang-mit-USB-Sticks
Gefahr, daß Mitarbeiter Viren und Trojaner einschleppt auf seinem USB-Stick.
Aufgabe 4a) falsch
Da man keinen Zugriff auf die Infrastruktur hat (die ist es ja, was man als externen Service bekommt), kann man auch keine Sicherheitsmaßnahmen im Bereich Infrastruktur im Sinne des BSI: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b02/b02009.html
treffen
4b) richtig
https://www.bsi.bund.de/DE/Themen/w...aloge/M2Organisation/m2organisation_node.html
4c) richtig
Aufklärung ist wichtig: http://www.ecc-handel.de/News/news-...ernehmen---Vom-sicheren-Umgang-mit-USB-Sticks
4d) richtig
BSI Sicherheitsmaßnahmen im Bereich Hard- und Software: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b01/b01009.html
Wasser ist als Risko dabei.
4e) richtig
KE5, S. 43
4f) falsch
Ein Autorisierungsverfahren verhindert nicht, daß der Angreifer Zugriff auf sensible Daten
und Information erhält.
Beispiel:
4g) falsch
Nein, das Risiko ist nie vollständig eliminierbar.
Um das Risiko zu minimieren (aber vollständig eliminierbar ist es nicht, jeder Schlüssel kann gebrochen werden, es dauert eventuell nur sehr lange), wenn man die Daten noch verschlüsseln würde.
Siehe Absatz "Confidentiality": http://lkl-it.de/blog/?p=4
4h) richtig
Ja, der Mensch ist das größte Problem dabei
4i) richtig
Eine Software, die alle abgerufenen Daten automatisch verschlüsselt vor kopieren auf den Datenträger des Diebes, verhindert aber wenigstens, daß der Dieb etwas mit den Daten anfangen kann.
4j) falsch
Man muß sich immer anpassen!
Aufgabe 1a)
C
"Verfügbarkeit", KE5, S. 10-11
Aufgabe 1b)
D
"Vertraulichkeit", KE5, S. 11
Aufgabe 1c)
B
"Verbindlichkeit", KE5, S. 12: erwähnt die Signatur
Wiki-Artikel "elektronische Signatur" erwähnt Integrität
Aufgabe 1d)
D
Wiki-Artikel "Public-Key-Infrastruktur"
Aufgabe 2a)
KE5, S. 14, Abbildung 4
1. Ergänzende Sicherheitsanalyse
2. Ergänzende Risikoanalyse
3. Basis-Sicherheitscheck II
Aufgabe 2b)
Wenn man den Netzplan am Computer zeichnen will, braucht man entweder MS-Visio oder eine andere Software.
Gliffy Freeware Software um Netzpläne online zu zeichen: http://www.gliffy.com/gliffy/#templateId=blank&signup=0
→ im linken Menü "Network Diagrams" auswählen
→ in der Mitte auf "Basic Network" Kachel doppelklicken
Man kann entweder einfach so zeichnen und nicht abspeichern, oder aber man legt einen kostenlosen Account (= free Basic Account) an.
Fenster dafür taucht auf, wenn man auf das Save Icon klickt.
Man startet mit einem kostenlosen Professional Account, der sich aber nach Ablauf der 30 Testtage automatisch in einen kostenlosen Basic Account umwandelt (d.h. man kann maximal 5 Diagramme speichern): http://support.gliffy.com/entries/242566-gliffy-online-what-happens-when-my-free-trial-ends
→ im linken Menü "Network Diagrams" auswählen
→ in der Mitte auf "Basic Network" Kachel doppelklicken
Man kann entweder einfach so zeichnen und nicht abspeichern, oder aber man legt einen kostenlosen Account (= free Basic Account) an.
Fenster dafür taucht auf, wenn man auf das Save Icon klickt.
Man startet mit einem kostenlosen Professional Account, der sich aber nach Ablauf der 30 Testtage automatisch in einen kostenlosen Basic Account umwandelt (d.h. man kann maximal 5 Diagramme speichern): http://support.gliffy.com/entries/242566-gliffy-online-what-happens-when-my-free-trial-ends
[*=1]Man kann sich Icons für Geräte links aus der Auswahl mit der Maus rüber in den Zeichenbereich zerren.
[*=1]Die normalen Word-Befehle wie STRG+C und STRG+V funktionieren, STRG+D funktioniert nicht.
[*=1]Die "ESC" = Escape Taste drücken wenn man mit einer Beschriftung fertig ist, um wieder aus der Beschriftung rauszukommen.
[*=1]Gruppieren (= Group) oder Gruppierung wieder auflösen (= ungroup) funktioniert über das Kontextmenü auf der rechten Maustauste.
[*=1]Verbindungen zwischen Geräten herstellen, indem man auf das Verbindungslinien-Icon oben klickt, dann mit der linken Maustaste auf den gewünschten Anfangspunkt (es erscheint ein roter Punkt) klicken und dann die linke Maustaste gedrückt halten und die Linie weiterzerren bis zum zweiten Gerät.
Beispiel KE5, S. 18, Abb. 5: https://www.bsi.bund.de/DE/Themen/w...z/strukturanalyse/Netzplan/netzplan_node.html
→ Netzplan aus Abb. 5 konsolidiert, Bild fehlt im Skript: https://www.bsi.bund.de/DE/Themen/w...lan/BeispielGruppen/beispielgruppen_node.html
- Laptops zusammenfassen
- Backup auf Server am gleichen physikalischen Ort macht wenig Sinn → bei Katastrophe ist das Backup auch weg
- Vorteil: Cloud ist an einem anderen physikalischen Ort
- extra Server und Firewall für Wiki
Aufgabe 2c)
Keine gute Idee, Verbindung nicht gesichert, Gefahr des Einschleppen von Viren
Aufgabe 3a)
KE5, S.23-24
besser erklärt (auf Englisch), auf S. 14 und dann beim jeweiligen alphabetischen Eintrag jedes Begriffs: http://www.citicus.com/docs/citicus_one_risk_glossary.pdf
- Criticality (potenzieller Schaden)
- Control weakness (Schwachstellen in der Umsetzung von Schutzmaßnahmen identifizieren)
- Special circumstances (Rahmenbedingungen)
- Level of threat (Bedrohungsgrad)
- Business impact (tatsächlicher Schaden)
Aufgabe 3b)
KE5 S. 33-34
- Betroffenes Objekt: Unternehmensdaten
- Aktivitäten, die zur Entstehung des Risikos beitragen:
- Urheber: Mitarbeiter
- Motivation:
beabsichtigt → gutwillig/böswillig ?
unbeabsichtigt → unwissend/fahrlässig ?
unbeabsichtigt → unwissend/fahrlässig ?
- Häufigkeit = Schadenhäufigkeit
77% der 1.200 Mitarbeiter benutzen einen privaten USB Stick
→ 0,77 · 1.200 = 924 Mitarbeiter
ca. 1% der Mitarbeiter verlieren den Stick
→ 0,01 · 924 = 9,24 verlorene USB Sticks pro Jahr
Laut Artikel würden sich 55% der Finder die Daten auch ansehen
→ 0,55 · 9,24
= 5,082 von Fremden betrachtete USB Sticks = Anzahl von Datenpannen
Schadenshäufigkeit pro Jahr: 5,082
→ 0,77 · 1.200 = 924 Mitarbeiter
ca. 1% der Mitarbeiter verlieren den Stick
→ 0,01 · 924 = 9,24 verlorene USB Sticks pro Jahr
Laut Artikel würden sich 55% der Finder die Daten auch ansehen
→ 0,55 · 9,24
= 5,082 von Fremden betrachtete USB Sticks = Anzahl von Datenpannen
Schadenshäufigkeit pro Jahr: 5,082
ACHTUNG: Schadenshöhe hier ist falsch, neuer Lösungsvorschlag unten in Beitrag 6!
Aufgabe 3c)
http://www.ecc-handel.de/News/news-...ernehmen---Vom-sicheren-Umgang-mit-USB-Sticks
Gefahr, daß Mitarbeiter Viren und Trojaner einschleppt auf seinem USB-Stick.
Aufgabe 4a) falsch
Da man keinen Zugriff auf die Infrastruktur hat (die ist es ja, was man als externen Service bekommt), kann man auch keine Sicherheitsmaßnahmen im Bereich Infrastruktur im Sinne des BSI: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b02/b02009.html
treffen
4b) richtig
https://www.bsi.bund.de/DE/Themen/w...aloge/M2Organisation/m2organisation_node.html
4c) richtig
Aufklärung ist wichtig: http://www.ecc-handel.de/News/news-...ernehmen---Vom-sicheren-Umgang-mit-USB-Sticks
4d) richtig
BSI Sicherheitsmaßnahmen im Bereich Hard- und Software: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b01/b01009.html
Wasser ist als Risko dabei.
4e) richtig
KE5, S. 43
4f) falsch
Ein Autorisierungsverfahren verhindert nicht, daß der Angreifer Zugriff auf sensible Daten
und Information erhält.
Beispiel:
Die TAN beim Online Banking ist ein Autorisierungsverfahren: http://www.dab-bank.de/hilfe-service/sicherheit-transaktionen.html
Wenn der Angreifer den Benutzernamen und das Passwort des Benutzers beim Online Banking kennt (= Angreifer gelungen, sich als ein anderer Benutzer zu authentifizieren), dann sieht er schon den Kontostand und die Kontobewegungen des Benutzers (= Zugriff auf sensible Daten und Information).
Er kann nicht zusätzlich noch das Konto leerräumen ohne die TAN zu wissen (= Autorisierungsverfahren), aber das ist schon alles.
Wenn der Angreifer den Benutzernamen und das Passwort des Benutzers beim Online Banking kennt (= Angreifer gelungen, sich als ein anderer Benutzer zu authentifizieren), dann sieht er schon den Kontostand und die Kontobewegungen des Benutzers (= Zugriff auf sensible Daten und Information).
Er kann nicht zusätzlich noch das Konto leerräumen ohne die TAN zu wissen (= Autorisierungsverfahren), aber das ist schon alles.
4g) falsch
Nein, das Risiko ist nie vollständig eliminierbar.
Um das Risiko zu minimieren (aber vollständig eliminierbar ist es nicht, jeder Schlüssel kann gebrochen werden, es dauert eventuell nur sehr lange), wenn man die Daten noch verschlüsseln würde.
Siehe Absatz "Confidentiality": http://lkl-it.de/blog/?p=4
4h) richtig
Ja, der Mensch ist das größte Problem dabei
4i) richtig
Eine Software, die alle abgerufenen Daten automatisch verschlüsselt vor kopieren auf den Datenträger des Diebes, verhindert aber wenigstens, daß der Dieb etwas mit den Daten anfangen kann.
4j) falsch
Man muß sich immer anpassen!
- Hochschulabschluss
- Diplom
- 2. Hochschulabschluss
- Bachelor of Science
- Studiengang
- M.Sc. Wirtschaftswissenschaft
- ECTS Credit Points
- 120 von 120
..zu 1d) ( mal abgesehen davon, daß mich solche Texte total schwindlig machen ).
Im Ausschlußverfahren bliebe bei mir eher A) übrig ( wobei ich auch hiermit nicht wirklich glücklich bin ):
- B) vollständig und ohne weitere Maßnahmen geht zu kurz, da man die Signatur der CA durchaus überprüfen kann.
- C) Satz von Euler hat m.E. nichts mit ewig fortsetzender Verifikation zu tun - deswegen quatsch
- D) Das Zertifikat der CA wird doch nicht überprüft, indem ich es über einen sicheren Kanal übertrage....?
ich öffne das Zertifikat und vergleiche den Hash-Code mit dem offiziellen auf der CA-Seite ( wenn ich das überhaupt will ),
deswegen eigentlich auch nicht korrekt ( in meinen Augen )
-> bleibt A)
In 1C) wird eine Man-in-the-middle-Attacke beschrieben, die durch ein Zertifikat umgangen werden kann. Deswegen sind die beiden Attacken imho nicht vergleichbar.
Im Ausschlußverfahren bliebe bei mir eher A) übrig ( wobei ich auch hiermit nicht wirklich glücklich bin ):
- B) vollständig und ohne weitere Maßnahmen geht zu kurz, da man die Signatur der CA durchaus überprüfen kann.
- C) Satz von Euler hat m.E. nichts mit ewig fortsetzender Verifikation zu tun - deswegen quatsch
- D) Das Zertifikat der CA wird doch nicht überprüft, indem ich es über einen sicheren Kanal übertrage....?
ich öffne das Zertifikat und vergleiche den Hash-Code mit dem offiziellen auf der CA-Seite ( wenn ich das überhaupt will ),
deswegen eigentlich auch nicht korrekt ( in meinen Augen )
-> bleibt A)
In 1C) wird eine Man-in-the-middle-Attacke beschrieben, die durch ein Zertifikat umgangen werden kann. Deswegen sind die beiden Attacken imho nicht vergleichbar.
Münchner Kindl
Tutorin und Forenadmin
Ja, aber was ist, wenn der Kanal, den Du zum Anschauen der CA-Seite benutzt, kompromittiert ist, und Du statt auf der CA-Seite auf einer gefälschten CA-Seite landest?
Sie spiegeln Dir also vor, daß Du einen korrekten CA-Verifikationsschlüssel bekommen hast, aber in Wirklichkeit ist alles fein säuberlich aus einer Hand gefälscht.
Wenn der CA-Schlüssel aber nun über einen sicheren Kanal (also einen, der bestimmt nicht kompromittiert werden kann), z.B. per Briefpost, übertragen wurde, dann kann man alle empfangenen Daten mit diesem "sicher richtigen" CA-Verifikationsschlüssel vergleichen und damit verifizieren.
Und man hat das Problem auf eine einmalige Übertragung (die des CA-Verifikationsschlüssels) reduziert, die aber sicher sein mußte.
Deswegen glaube ich, daß:
"D. Sie müssen zwar die Signatur der CA auch verifizieren, das Problem reduziert sich aber dadurch darauf, einen einzigen Verifikationsschlüssel, den der CA, anstelle beliebiger Schlüssel, über einen sicheren Kanal zu übertragen."
richtig ist.Bildlich stelle ich mir das als eine CA-Schachtel mit Vorhängeschloß vor, und in der CA-Schachtel ist der Schlüssel (= Public Key bei asymmetrischen Verschlüsselungsverfahren) des Geschäftspartners, mit dem wir ins Geschäft kommen wollen, z.B. Louis Vuitton.
Louis Vuitton wird uns später viele verschlossene Kästen (=verschlüsselte Daten) mit Ware schicken, die wir mit dem Vuitton-Schlüssel (=Public Key von Vuitton) aus der CA-Schachtel werden aufsperren müssen, und wir wollen sicher sein, daß die Kästen wirklich von Louis Vuitton kommen, und uns nicht stattdessen gefälschte Billigware untergejubelt wird.
Das Vorhängeschloß der CA-Schachtel läßt sich nur mit dem Schlüssel der CA öffnen. Wir müssen aber sicher sein, daß uns kein anderer Schlüssel untergejubelt wurde, also daß nicht sowohl Vorhängeschloß und Schlüssel der CA-Schachtel aus einer kriminellen Quelle stammen (die allgegenwärtigen Vuitton-Fälscher!), sondern wirklich von der CA stammen.
Deswegen muß uns der Schlüssel für die CA-Schachtel auf einem sicheren Weg zugegangen sein, z.B. er wurde uns von einem uns bekannten Mitarbeiter der CA-Stelle persönlich überreicht.
Wenn sich dann die CA-Schachtel mit dem "sicher richtigen" CA-Schlüssel öffnen läßt, dann können wir sicher sein, daß der Vuitton-Schlüssel (= Public Key) der in der Schachtel lag, wirklich von Vuitton stammt, und alle darauffolgenden Lieferungen, die wir mit diesem Vuitton-Schlüssel aufsperren werden können, wirklich echte Ware enthalten.
Jetzt kann man sagen, das ist ja gehupft wie gesprungen, man hätte einfach den Vuitton-Schlüssel von einem uns bekannten Vuitton-Mitarbeiter persönlich übergeben lassen können, und das wäre genauso sicher gewesen, und mit weniger Overhead verbunden.
Stimmt, wenn man nur einen Geschäftspartner hat.
Was aber, wenn wir auch Ware von Hermès, Prada, Gucci und sonstigen Designern empfangen wollen?
Für das gibt es die CA, alle Designer haben bei der CA ihre "sicher richtigen" Schlüssel hinterlegt, und wir brauchen dann wiederum nur einen "sicher richtigen" Schlüssel, den der CA, um all die "sicher richtigen" Schlüssel der Designer zu bekommen, wir müssen nicht für jeden Designer separat ein persönliches Treffen zur Schlüsselübergabe veranstalten.
Also nur ein Treffen (= sicherer Kanal) notwendig, statt x-Treffen mit x-Designern.
Im Endeffekt ist das eine Vertrauenskette, wir vertrauen der CA, daß sie damals die Mitarbeiter der Designer überprüft hat, daß sie wirklich von den Designer kamen als sie der CA die Schlüssel übergaben, und da wir der CA vertrauen, vertrauen wir allen Designer-Schlüsseln, die wir in mit CA-Vorhängeschlössern veschlossenen Schachteln erhalten, aber nur, falls wir den CA-Schlüssel auf einem sicheren Weg erhalten hatten.
- Hochschulabschluss
- Diplom
- 2. Hochschulabschluss
- Bachelor of Science
- Studiengang
- M.Sc. Wirtschaftswissenschaft
- ECTS Credit Points
- 120 von 120
Danke für Deine sehr ausführliche Antwort, ist ja nun noch etwas Zeit bis zum 10.1. - da kann man das alles erst mal sacken lassen ;)
Versuche mich gerade an 3b ) und vermisse bei Deiner Schadensberechnung die Gewichtungen, die in dem Zeitungsartikel vorkommen,
nicht jeder der einen privaten Stick benutzt, hat dort auch sämtliche Daten gespeichert -
zwar benutzen 77% der Mitarbeiter ihren privaten USB-Stick, aber nur 25% SPeichern darauf auch Kundendaten - und nur 6 % z.Bsp. Programmcode.
Deshalb denke ich, daß die Schadenssumme um einges geringer ausfallen müßte ( ohne es schon explizit berechnet zu haben.. - kommt aber evtl. heute noch )
Gruß
Versuche mich gerade an 3b ) und vermisse bei Deiner Schadensberechnung die Gewichtungen, die in dem Zeitungsartikel vorkommen,
nicht jeder der einen privaten Stick benutzt, hat dort auch sämtliche Daten gespeichert -
zwar benutzen 77% der Mitarbeiter ihren privaten USB-Stick, aber nur 25% SPeichern darauf auch Kundendaten - und nur 6 % z.Bsp. Programmcode.
Deshalb denke ich, daß die Schadenssumme um einges geringer ausfallen müßte ( ohne es schon explizit berechnet zu haben.. - kommt aber evtl. heute noch )
Gruß
Münchner Kindl
Tutorin und Forenadmin
Ja, stimmt, das hatte ich überlesen, danke!
Mein neuer Lösungsvorschlag für Aufgabe 3b):
