Cybersicherheit Glossar

In einer zunehmend vernetzten Welt, in der Gesellschaften auf digitale Infrastruktur angewiesen ist, bekommt das Thema Cybersicherheit/Cybersecurity einen zunehmend höheren Stellenwert. Dass Datenlecks immer häufiger vorkommen oder Hackerangriffe auf Stromversorger erfolgreich sind, zeigt, welche Auswirkungen mangelnde Cybersicherheit haben kann. Finden Sie in diesem Glossar eine kompakte Übersicht über die wichtigsten Begriffe, die Sie kennen sollten! Lesezeit 5 Minuten.


Cybersecurity/Cybersicherheit

Oberbegriff, der Vertraulichkeit, Integrität und Verfügbarkeit von Geräten, Netzwerken, Hardware, Software und, am wichtigsten, von Daten und Informationen umfasst. Cybersicherheit bezieht sich auf verschiedene Zustände von Daten und Informationen – während sie durch Netzwerke reisen, während eine Maschine sie bearbeitet und im Ruhezustand auf einem Speichermedium. Man kann Cybersicherheit auch als Teilmenge von Informationssicherheit auffassen, dem sehr allgemeine Oberbegriff. Dieser bezieht neben digitalen Daten auch physisch gespeicherte Daten ein.

Sicherheitsmodelle

Hier sind die zwei gängigsten Modelle der Cybersicherheit aufgeführt. Sie sind eine nützliche Orientierung bei Design und Überprüfung von Anwendungen und Services.

1. Das CIA Modell

Auch eine US-amerikanische Behörde, hier aber sind die drei wichtigsten Ziele der Cybersicherheit auf Englisch gemeint – Confidentiality, Integrity, Availability. Dieses Modell dient als Prüfschema für das Schutzziel Informationssicherheit im Cyberspace.

C – Confidentiality: Autorisierte Personen, Geräte oder Prozesse sollen auf Daten zugreifen dürfen, andere keinen Zugriff haben. Benutzernamen, Passwort-Kombinationen, Quellcode, persönliche, identifizierbare Informationen und mehr müssen geschützt werden. Hauptsächlich sorgt Verschlüsselung für Vertraulichkeit.

I – Integrity: Cybersecurity beinhaltet, dass wir uns sicher sein können, dass die Daten bei Übertragung und Übermittlung nicht in ihrer ursprünglichen Form abgeändert wurden, egal ob versehentlich oder böswillig. Wenn ein Bit einer Nachricht geändert wird, kann das die gesamte Botschaft ändern. Hashing sorgt für Integrität.

A – Availability: Daten und Informationen sowie Geräte sollten verlässlich verfügbar sein, wenn Sie benötigt werden. Bei einem DDoS-Angriff beispielsweise wird ein Webserver absichtlich so mitTraffic überhäuft, dass er für niemanden mehr erreichbar ist. Außerdem sorgen Fault Tolerance und Load Balancing für Verfügbarkeit.

Kryptographie (Confidentiality)

Ermöglicht das „C“ des CIA Modells. Im Kontext der Cybersicherheit ist die Verschlüsselung von sensiblen Daten und Informationen gemeint. Die Originaldatei oder Nachricht bezeichnet man als der Klartext oder Plaintext. Algorithmus oder Chiffre, eine mathematische Funktion, die den Klartext in einen unleserlichen Zeichensalat, den Ciphertext, verwandelt. Außerdem kommt der Schlüssel hinzu, welcher in Verbindung mit dem Algorithmus die Nachricht ver- und entschlüsselt. Verschlüsselungsalgorithmen wie AES oder RSA sind bekannt und öffentlich. Dann erst in Kombination mit dem Schlüssel werden sie zu einem Werkzeug für Vertraulichkeit.

Hashing (Integrity)

Ermöglicht das „I“ des CIA Modells. Hashing erlaubt es zu überprüfen, ob Bits in einer Nachricht verändert wurden. Mithilfe von Hashfunktionen werden Prüfsummen gebildet: Die mathematische Funktion hat die Eigenschaft, dass der Input variabel sein kann, der Output aber immer dieselbe Länge aufweist. Ein Zeitungsartikel und Ihr Vorname würde also eine Hash derselben Länge produzieren. Änderungen nur eines Inputzeichens resultieren in einem komplett unterschiedlichen Hash. Auf diese Weise kann die Integrität von übermittelten Datenpaketen überprüft und sichergestellt werden. Daher spielt Hashing auch für die Blockchain-Technologie eine große Rolle.

DDoS (Availability)

Der Distributed Denial of Service, ein Angriff auf das „A“ des CIA Modells. Denial of Service ist die Nichtverfügbarkeit eines Onlinedienstes. Das kann verschiedene Gründe haben. Ein DDoS beschreibt die Unverfügbarkeit als Folge von Serveranfragen, dessen Anzahl die Kapazität des Dienstes sprengen. Diese Attacken werden zunehmend größer; der aktuelle Rekord an Workload eines einzigen Angriffes liegt bei 1,2 Tbps. Häufig werden hierbei zehntausende ungeschützte Computer instrumentalisiert. Ebenso bekommen diese als Teil eines Botnetzes Anweisungen. Zum Beispiel die Website von Unternehmen X mit Traffic zuzuschütten. Seit Kurzem werden auch unsichere IoT-Geräte zu großen Teilen in diese Attacken eingebunden. Internetfähige TVs, Webcams und Kühlschränke haben oft nur unzureichende Sicherheitskonfigurationen und sind so einfache Rekruten für eine DDoS-Attacke.

2. Das AAA Modell

Ein weiteres wichtiges Modell der Cybersicherheit.

A – Authentifizierung

Der Prozess, in dem man beweist, dass man der ist, der man vorgibt zu sein. Wenn Sie behaupten, jemand zu sein, identifizieren Sie sich. Wenn Sie es beweisen können, ist dies die Authentifizierung. Authentifizierung erfordert Beweise in einer von drei möglichen Formen:

  • Sachen, die Sie kennen, z.B. ein Passwort
  • Objekte, die Sie haben, z.B. ein Schlüssel
  • Etwas, das Sie sind – Biometrie

Wenn Sie mehr als eine dieser Kategorien kombinieren, wird dies als Multifaktor-Authentifizierung bezeichnet.

A – Autorisierung

Autorisierung bedeutet, dass man einen Nutzer bestimmte Rechte einräumt, anderen wiederrum nicht. Dies ist an das Prinzip des Least Privilege geknüpft. Benutzer, Geräte, Programme und Prozesse sollten nur die absolut ausreichend Berechtigungen erhalten und kein Bisschen mehr.

A – Accounting

Anonyme Erfassung von Handlungen der Benutzer ist sehr wichtig. Geloggte Ereignisse, die zu Vorfällen führen, können sich für eine Untersuchung als sehr wertvoll erweisen. Nehmen wir als Beispiel nicht autorisierte fehlgeschlagene Anmeldeversuche.

Firewall

Firewalls filtern Netzwerktraffic basierend auf Regeln. Diese Regeln können Quell- oder Ziel-IP Adressen, bestimmte Protokolle oder Ports sein.

Bestimmte Datenpakete werden nicht in ein Netzwerk gelassen, während andere nicht aus dem Netzwerk gelassen werden.

  • Firewall Typen

Die zwei häufigsten Typen von Firewalls: hardwarebasierte und softwarebasierte. Eine Hardwarebasierte ist meistens eine Maschine, die zwischen dem internen Netzwerk und dem Edge Router sitzt. Internes Netzwerk—–Firewall—–Edge Router—– Internetprovider (ISP) Sie grenzt also das große Unbekannte vom internen, vertrauenswürdigem Netzwerk ab. Die Softwarebasierte ist ein Programm auf dem Client, wie z.B. die Microsoft Windows Firewall. Sie grenzt das Bekannte (den Client selbst) vom Unbekannten, zum Beispiel einem öffentlichen WLAN ab.

  • Firewall Techniken

Die Paketfilterung wird weiter unterschieden in stateless und stateful. Eine Filterung ist stateless, wenn jedes Datenpaket als isoliertes Kommunikationsstück betrachtet wird. Manche Pakete scheinen einzeln unverdächtig. Sieht man aber die Gesamtkommunikation aus mehreren Paketen und versteht den Kontext, lässt sich so unter Umständen auch eine Bedrohung feststellen. Dagegen gibt es das stateful filtering.

Intrusion Detection Systems vs. Intrusion Prevention Systems

Nicht zu verwechseln mit Firewalls. Denken Sie an einen Flughafen. Stellen Sie sich eine Firewall wie das Sicherheitspersonal vor dem Betreten des Gates vor. Personalien und Taschen werden geprüft. IDS und IPS sind das Sicherheitspersonal hinter der Kontrolle, wo die Passagiere die Flugzeuge betreten. IDS und IPS kümmern sich also um Querschläger in diesem Bereich. Zum Beispiel ein aggressiver und lauter Passagier, der sich über die Verspätung seines Fluges aufregt. Darüber hinaus müssen also IDS und IPS  Entscheidungen bei Vorkommnissen im internen Netzwerk treffen.

  • IDS

Intrusion Detection System: Läuft an einen Switch angeschlossenen im Netzwerk mit und erhält Kopien des Netzwerktraffics. Daher gibt es keine Latenz für den Traffic. Alarmiert Administrator bei bestimmten Ereignissen oder kann mit der Firewall kommunizieren, um Regeln anzupassen. Hat vor allem Sichtbarkeitsfunktion für den Traffic.

  • IPS

Intrusion Prevention System: Läuft inline. Der eigentliche Traffic muss also das IPS passieren. Dadurch erhöht sich durch Live-Verarbeitung Latenzzeiten des Traffics. Alarmiert Administrator bei bestimmten Ereignissen oder kann mit der Firewall kommunizieren, um Regeln anzupassen. Kann außerdem auch Traffic selbst blocken. Hat vor allem Kontrollfunktion für den Traffic.

Virus vs. Wurm vs. Trojaner

Alle fallen unter den Oberbegriff Malware (kurz für Malicious Software), sind aber leicht zu verwechseln.

  • Virus

Wie ein biologischer Virus injiziert sich der Computervirus in eine (Wirts-)Datei oder Programm auf dem Computer des Betroffenen. Diese Datei enthält bösartige Befehle, die vom CPU ausgeführt werden, sobald Datei oder Programm geöffnet werden. Viren können sich eigenständig auf dem Host ausbreiten und replizieren. Jedoch um sich auf andere Geräte im Netzwerk zu replizieren, ist menschliche Handlung erforderlich. Der Klassiker: Email-Anhang. Viren haben immer einen bösartigen Inhalt.

  • Wurm

Die als Wurm bekannte Malware infiziert keinen Dateien. Er ist eine eigenständige Datei. Würmer können sich selbst über Netzwerke über die ganze Welt verbreiten. Sie können sich auf Email-Listen setzen oder selbst Emails schreiben und sich anhängen. Ein Wurm hat nicht zwangsweise einen bösartigen Inhalt. Wenn ein Wurm eine, zehn oder tausend Dateien an einen Webserver schickt, wird nichts passieren. Repliziert sich der Wurm allerdings auf 10.000 andere Computer, die gemeinsam als Botnetz diesen Webserver mit Traffic zuschütten, kann dies zur Überforderung des Servers führen. Siehe auch DDoS.

  • Trojaner

Ein Trojaner oder Trojanisches Pferd kann sowohl ein Virus oder ein Wurm sein. Der Begriff Trojaner beschreibt die Erscheinungsform der Schadsoftware. Er scheint ein harmloses Programm zu sein, das z.B. als Freeware zur Verfügung gestellt wird. Unter dem Deckmantel des Programmes oder der Datei versteckt sich allerdings auch ein Virus oder Wurm. Einmal in den PC geschleust, entfaltet es seine Wirkung. Diese können neben den oben genannten Schadwirkungen auch sensible Daten unbemerkt mit Dritten teilen oder Hackern Zugriff über eine Backdoor geben.

Cryptolocker

Diese Software-Familie ist so konzipiert, dass sie Daten und Dateien verschlüsseln. Die Daten sind unmöglich zu entschlüsseln, ohne den privaten Schlüssel zu kennen, der normalerweise auf dem Server des Angreifers gespeichert wird, bis das Lösegeld bezahlt wird. Lesen Sie mehr zu Cryptolockern in unserem Blogartikel.

Cyberthreat Real Time Maps

Verschiedene Hersteller von Sicherheitssoftware bieten Echtzeit-Cyberangriffskarten an. Auf diesen können Sie sich einen guten Eindruck verschaffen, in welchem Ausmaß Cyberattacken stattfinden.