Online-Informationen und Literatur zum Thema "Sicherheit"

Inhalt

• Portale und Organisationen
• Bücher / Schriften
• E-Mail-Verteiler
• Tools
  • Pretty Good Privacy (PGP)
  • Secure Shell (SSH)
  • (UNIX) Integrity Checkers
• Bedrohungen
• Kryptographie, Steganographie
• Microsoft-Betriebssysteme
• Rechtliche Aspekte
• Sonstiges
• Notation

Portale und Organisationen

• Das Internet Security Forum
• Security-Portal; [2001-12-12]
• Umfassende Informationen zum Thema "Datenschutz" durch deutsche und internationale Datenschutzbeauftragte sowie offizielle Datenschutzorganisationen
• Informationen zum DFN-CERT
• Sicherheits-relevante Dienste des LRZ
• Computer Emergency Response Team Coordination Center (CERT/CC)
• Forum of Incident Response and Security Teams (FIRST)
• Computer Operations, Audit and Security Technology (COAST)
• Computer Incident Advisory Capability (CIAC) des DoE
• SANS Institute (SysAdmin, Audit, Network, Security)

Bücher / Schriften

• Computersicherheit im Internet für Anwender.
  Regionales Rechenzentrum für Niedersachsen (RRZN),
  1. Auflage, Juni 2001; [Ben, Einst (/Frt), **].

  Schneller Einstieg in die Thematik.  Die Problematik und prinzipielle Vorgehensweisen werden Plattform-unabhängig dargestellt;  die konkreten Beispiele usw. richten sich an die Benutzer von MS-Windows.

• David Curry:
  UNIX System Security:  A Guide for Users and System Administrators.
  Addison Wesley, 1992; [Ben/Adm, Einst/Frt].

• Simson Garfinkel, Gene Spafford:
  Practical UNIX and Internet Security, Second Edition.
  O'Reilly & Associates, 1996, ISBN 1-56592-148-8; [Adm, Frt/Exp].

  Sehr gute Darstellung der Möglichkeiten, ein UNIX System sicherer gegen Angriffe zu machen.

• Lincoln D. Stein (Autor der "World Wide Web Security FAQ"):
  Web Security.  A Step-by-Step Reference Guide.
  Addison Wesley, 1998, ISBN 0-201-63489-9; [Ben/Adm, Einst/Frt].

  Gutes und leicht verständliches Buch, das aus folgenden Teilen besteht:

  • Kurze Einführung in Security, Kryptographie, SSL und SET
  • Security auf der Client-Seite
  • Security auf der Server-Seite

  Weitere Informationen über den Verlag.

• Aviel Rubin:
  Web Security Sourcebook.  John Wiley & Sons, Inc., 1997, ISBN 0-471-18148-X; [Adm, Einst/Frt/Exp].

• Deborah Russell, G. T. Gangemi Sr.:
  Computer Security Basics.  O'Reilly & Associates, 1992, ISBN 0-937175-71-4; [Adm, Einst/Frt].

  Das Buch führt in die wichtigsten Security-Konzepte ein (z.B. Kryptographie, obligatorische Zugangskontrolle) und wendet sich dabei primär an Systemverwalter;  aber auch interessierte Benutzer können mit dem Buch etwas anfangen.

• Bruce Schneier:
  E-Mail Security.  John Wiley & Sons, 1995, ISBN 0-471-05318-X; [Ben/Adm, Einst/Frt].

  Führt in die wichtigsten Mechanismen zum Schutz von E-Mail ein.  PEM und PGP werden als Beispiele angebracht.  Allerdings werden diese Pakete nicht sehr ausführlich beschrieben.

• Cliff Stoll:
  The Cuckoo's Egg - Tracking a Spy through the Maze of Computer Espionage.
  Pocket Books, a division of Simon & Schuster, 1990; [Ben/Adm, Einst].

  Interessanter und unterhaltsamer Tatsachenbericht, wie ein brühmter Hacker gefaßt wurde.  Dieses Buch wird in dieser Liste aufgeführt, weil es einen guten Einblick in die Szene der Hacker und "Hacker-Jäger" gibt.

E-Mail-Verteiler

• Eine Liste von E-Mail-Verteilern zum Thema "Security" wird von der Firma Internet Security Systemsgepflegt.
• E-Mail-Verteiler des Deutschen Forschungsnetzes(DFN):
  • win-sec-ssc (Sub-Verteiler + WWW-Archiv beim LRZ):
    Verbreitung der Warnungen und Hinweise des DFN-CERT's
    [Adm, Einst/Frt/Exp, **]
  • win-sec (Sub-Verteiler + WWW-Archiv beim LRZ):
    Diskussion aller Fragen der Rechner- und Netz-Sicherheit
  • win-pca (Sub-Verteiler + WWW-Archiv beim LRZ):
    Diskussionen über sicherheitstechnische Fragen im Rahmen der Tätigkeiten der DFN-PCA
• E-Mail-Verteiler des LRZ:
  • security-news:
    Interessante Neuigkeiten rund um das Thema "Sicherheit" aus verschiedenen Quellen.
  • mwn-security:
    Diskussion von sonstigen Sicherheits-Themen mit Bezug zum MWN.
  • Sub-Verteiler + WWW-Archive zu den E-Mail-Verteilern des DFN

  Technische Hinweise zur Aufnahme in einen dieser Verteiler finden Sie hier.

Tools

Pretty Good Privacy (PGP)

[Ben/Adm, Einst/Frt/Exp, **]

Tool zum Verschlüsseln und Signieren von Dateien, E-Mails usw.:

• Internationale Home-Page
• Home-Page der Firma

• Simson Garfinkel:
  PGP - Pretty Good Privacy.
  O'Reilly & Associates, 1995, ISBN 1-56592-098-8; [Ben/Adm, Einst/Frt].

  Ausführliche Beschreibung von PGP (Version 2.6.x).  Ein Buch zu den drastisch überarbeiteten neueren Versionen existiert bis jetzt noch nicht.

• Deutsche Übersetzung des Buches
• FAQ, die regelmäßig in der News-Hierarchie comp.security.pgp gepostet wird
• Link-Sammlung von Ulf Möller
• Key-Server (WWW, E-Mail, FTP)
• The GNU Privacy Guard (freie Implementierung des PGP-Standards)

Secure Shell (SSH)

[Ben/Adm, Einst/Frt/Exp, ***]

Bei den Kommunikations-Kommandos telnet, rlogin (Remote Login), rsh (Remote Execution) und rcp (Remote Copy) werden alle Daten (z.B. auch Paßwörter!) unverschlüsselt übertragen und die Kommunikations-Partner weisen sich nichtgegenseitig aus. Diese schwerwiegenden Sicherheitslücken werden durch die Secure Shell behoben:

• Software, ergänzende Tools usw.:
  • Home-Pageder kommerziellen Variante
  • Quellen (Mirror des DFN-CERT)
  • OpenSSH: Frei verteilbare Variante
  • Freier SSH-Client für MS-Windows (nur ssh):
    TTSSH - An SSH Extension to Tera Term
  • Freier SSH-Client für Mac: NiftyTelnet
  • Komplett in Java geschriebener, freier Client der Firma Mindbright:
    MindTermis a pure java implementation of the SSH protocol (currently only v1). It also contains a rather complete xterm/vt100 terminal package making it a fully fledged SSH-client. It has FTP-tunneling and built-in SCP file-transfer as interesting additional features.
  • Host-Public-Keys für SSH1 und SSH2 (Rechner des LRZ und der TUM-Informatik)
• Informationen, Dokumente usw.:
  • Secure Shell (SSH) für Benutzer: Grundlagen und Kurzeinführung mit Beispielen für UNIX
  • Installation und Nutzung des SSH Clients 'PuTTY'
  • Getting started: Kurzeinführung in Englisch
  • SSH-FAQ(Frequently Asked Questions)
  • News-Gruppe comp.security.ssh
  • Links zu frei verteilbaren Implementierungen
  • Sammlung von Links mit besonderem Schwerpunkt auf SSH-Clients für verschiedene Plattformen

(UNIX) Integrity Checkers

Mit der Hilfe von Integrity Checkers will man erkennen können, ob Dateien (Inhalt und/oder Eigenschaften) verändert wurden (z.B. von einem Hacker, nachdem er in einen Rechner einbrechen konnte). Derartige Tools werden üblicherweise als

• Integrity Checker
• File Integrity Checker
• System Integrity Checker
• Integrity Verifier
• File Integrity Verifier
• System Integrity Verifier

bezeichnet.

Diese Tools kosten zwar Aufwand, sind aber eine wertvolle Warn-Einrichtung. Außerdem ersparen sie nach einem Angriff auch manchmal eine Neu-Installation, da man ja erkennen kann, was vom Angreifer im eigenen Rechner verändert wurde.

Bekannte Vertreter:

• Tripwire
• Samhain
• Integrit
• YAFIC
• AIDE
• Osiris

Bedrohungen

• Viren, Würmer usw.:
  • Viren-Informationen des BSI(Bundesamt für Sicherheit in der Informationstechnik)
  • Anti-Viren-Seitenbeim Online-Angebot des Heise Zeitschriften-Verlags (c't, iX, Telepolis)
  • Viren-Informationen einiger Hersteller von Anti-Viren-Software:
    • Sophos: Einstiegs-Seite zu den Informationen und Liste der Top-Ten-Viren.

      Das LRZ ermöglicht seinen Kunden einen günstigen Bezug des Produkts "Anti-Virus" und ein Verfahren, das die Installation und die regelmäßige Aktualisierung dieser SW wesentlich vereinfacht.

    • Network Associates (NAI): Virus Information Library
    • Symantec: Einstiegs-Seite zu den Informationen
  • Aktuelle ITW-Viren-Meldungen(ITW: In The Wild = in freier Wildbahn gesichtet) der TU Berlin
  • Hintergrund-Informationen der Uni Wienzu Viren
  • Viren-Informationen der MessageLabs
  • Informationen zu "Hoaxes" (d.h. Falschmeldungen) der TU Berlin
  • Informationen zu "Trojanischen Pferden" (oft auch nur kurz "Trojaner" genannt)
• Trotz aller Warnungen fallen immer noch Gutgläubige / zu Gierige auf Betrüger der Nigeria-Connectionherein, die mit folgender Masche teilweise hohe Summen ergaunern:

  In einer (Spam-)E-Mail (teilweise auch Fax oder Brief) erhält das Opfer ein scheinbar verlockendes Angebot:
  Auf einem Bankkonto in einer Bananen-Republik (vor allem Afrika und Asien) wartet ein meist 8-stelliger Betrag, der vor der jeweiligen Regierung in Sicherheit gebracht werden soll. Das potentielle Opfer soll nun dabei helfen, das Geld ins Ausland zu schaffen, und dafür als Ausgleich 5 - 10% des Guthabens erhalten.
  Allerdings muss das Opfer mehrere Hundert oder Tausend Euro für Bankgebühren, Bestechungsgelder usw. vorstrecken .... :-((((

  • Infoszur Nigeria-Connection (auf Deutsch) und umfassende Sammlung entsprechender E-Mails
  • Offizielle Informationen der nigerianischen Regierung (in Englisch)

Kryptographie, Steganographie

• International Cryptography
• Informationen zur PKI des LRZ
• Information Systems Security Association (ISSA)
• Gateway to Information Security
• S/MIME and PGP/MIME
• C. Ellison, B. Schneier:
  Ten Risks of PKI: What You're Not Being Told About Public Key Infrastructure
  Computer Security Journal, v 16, n 1, 2000, pp. 1-7.
• Andreas Pfitzmann:
  Wie es zum Schlüsselhinterlegungs- und Aufbewahrungs-Gesetz (SchlAG) kam
  Chaos Communication Congress '95; [Ben/Adm, Einst/Frt/Exp].

  Sehr lesenswerte Satire zur Kryptographie-Debatte, die durch eine leicht verständliche Analogie aus dem täglichen Alltag die Gefahren einer Kryptographie-Beschränkung deutlich macht.

• Links zum Thema "Public Key Infrastructure" (PKI)

Microsoft-Betriebssysteme

• Microsoft

Rechtliche Aspekte

Eine Unterstützung bei rechtlichen Fragen ist eines der  Beratungsangebote  des  Deutschen Forschungsnetzes  (DFN).  Zum  Online-Angebot  in diesem Bereich gehört u.a. der  "Infobrief Recht",  der speziell für Nicht-Juristen gedacht ist.  Die monatlichen Ausgaben enthalten i.a. drei Artikel und können als PDF heruntergeladen werden. [Ben/Adm, Einst/Frt/Exp, **]
Im folgenden finden Sie eine  Auswahl  von Artikeln, die nicht nur im speziellen Umfeld "Forschung & Lehre" interessant sind:

• Ass. Jur. Kai Welp, RA Noogie Kaufmann:
  Haftung für Rechtswiedriges Verhalten Dritter im Internet.
  Juli 2008, [Ben/Adm, Einst/Frt/Exp, **]

  Der Artikel behandelt speziell die folgenden Szenarien:

  • Ungesicherter WLAN-Anschluss
  • Betrieb von Foren, Gästebüchern usw.

• Juni 2008:
  • Dipl.-Jur. Felix Banholzer:
    Vorsicht bei offenen WLAN-Zugängen!  —  Das Amtsgericht Wuppertal erklärt Schwarz-Surfen zur Straftat
  • Dipl.-Jur. Felix Banholzer:
    Bildveröffentlichungen im Internet  —  Die Gefahren einer zivilrechtlichen Haftungsinanspruchnahme
  • Dipl.-Jur. Felix Banholzer:
    Bildveröffentlichungen im Internet  —  Die Gefahren einer zivilrechtlichen Haftungsinanspruchnahme
• Mai 2008:
  • Kai Welp:
    Durchsetzungsgesetz durch Deutschen Bundestag verabschiedet  —  Zivilrechtlicher Auskunftsanspruch gegen Provider beschlossen
  • Eva Schröder:
    Online-Durchsuchung bald Gesetz?  —  Zur geplanten Umsetzung des Karlsruher Urteils
• April 2008:
  • Ass. jur. Kai Welp:
    Handlungsempfehlungen Computerstrafrecht
  • Dipl.-Jur. Felix Banholzer, Ass. iur. Stefan Bröckers:
    Risiken bei der Erstellung von Websites  —  Informationspflichten des Betreibers zur Vermeidung einer Haftung
• März 2008:
  • Dipl.-Jur. Hannes Obex:
    Gesetz zu Online-Durchsuchungen ist verfassungswidrig  —  Karlsruher Verfassungsrichter erklären nordrhein-westfälisches Ermächtigungsgesetz für nichtig und begründen neues Computer-Grundrecht
  • Ass. iur. Stefan Bröckers:
    Zum (Fehl-) Start der Musiktauschbörse QTrax  —  Kostenloser Download von Musik bald legal?

Sonstiges

• RFC 2504: Users' Security Handbook.
  33 Seiten ASCII (gzip-komprimiert, 24 kB); [Ben, Einst/Frt].
• RFC 2196: Site Security Handbook.
  75 Seiten ASCII (gzip-komprimiert, 60 kB); [Adm, Einst/Frt].
• DFN-CERT: Leitfaden zur Absicherung von Systemen in Rechnernetzen.
  Version 1.0; PDF (901 KB) und gzip-komprimiertes PostScript(402 KB)
• Kurt Seifried:
  Linux Administrators Security Guide (LASG).
  Version 0.1.6; 177 Seiten (PDF, 444 KB)
• Recht im DFN
• Charles C. Mann:
  Homeland Insecurity.
  [Adm / (Ben), Einst/Frt/Exp, **]

Notation

Bei einigen Verweisen wird in eckigen Klammern ("[...]") eine Bewertung angegeben.  Dabei haben die einzelen Felder folgende Bedeutung:

• Personenkreis, für den der Link, die SW usw. von Interesse ist:

  	Ben:	"Normale" Benutzer
  	Adm:	System-Administratoren

• Der Link, die SW usw. richtet sich an Personen mit folgendem Wissensstand:

  	Einst:	Einsteiger
  	Frt:	Fortgeschrittene
  	Exp:	Experten

• Qualität bzw. Bedeutung der SW, des Dokuments usw.:

  	*:	Überdurchschnittlich
  	**:	Sehr gut oder wichtig
  	***:	Herausragend

  Diese Bewertung ist nicht absolut gesehen, sondern relativ innerhalb des jeweiligen Themengebiets.

• Mit "DATUM_LINK" und einem optional folgenden "/ UPDATE" wird angegeben, wie aktuell die Informationen zum Link, zur SW usw. sind:

  • DATUM_LINK gibt an, wann der Link bzw. der Abschnitt in diese Sammlung aufgenommen bzw. überprüft wurde.
  • UPDATEspezifiziert die Aktualität des betreffenden Dokuments usw.:
    • DATUM: Der letzte Update fand zu diesem Zeitpunkt statt.
    • - | o | +: Ein Update erfolgt zu selten | akzeptabel | häufig.
    • ?: Die Aktualität ist unbekannt.