Inhaltsverzeichnis

A.  Einleitung  

B.  Grundlagen zur Sicherheit im elektronischen Handel  

1.  Definitionen.  6

1.1  Was ist elektronischer Handel  6

1.2  Was versteht man unter Datensicherheit und Datenschutz.  7

1.3  Ablaufschritte im internationalen elektronischen Handel.  8

2.  Anforderungen an sicheren elektronischen Handel  10

2.1  Transaktionssicherheit.  10

2.2  Zugriffskontrolle  10

3.  Beschaffenheit und Gefahrenpotential elektronischer  

Kommunikationsmedien.   11

3.1  Gespeicherte und in Bearbeitung befindliche Daten  11

3.2  Prozess der Datenübertragung.  12

4.  Mögliche Angriffe auf die Datensicherheit.  15

4.1  Angriffe auf gespeicherte Daten  15

4.1.1  Verlust, Verfälschung und Unterbrechung.  15

4.1.2  Ausspähen  16

4.1.3  Eindringen.  17

4.1.4  Java/ActiveX.  17

4.2  Angriffe auf Daten während des Übertragungsprozesses.  18

4.2.1  passive Angriffe  18

4.2.2  aktive Angriffe  18

C.  Realisierung der Datensicherheit im elektronischen Handel  

5.  Schutz vor Schadprogrammen.  19

5.1  Anti-Viren-Software  19

5.2  Maßnahmen.  20

6.  Grundlagen der Verschlüsselung  21

6.1  Symmetrische Verschlüsselung.  22

6.2  Asymetrische Verfahren.  23

6.3  Hash-Verfahren.  25

6.4  Digitale Signatur.  27

7.  Transaktionssicherheit.  28

7.1  Authentifizierung mittels Zertifikaten.  28

7.2  Sicherheitsverfahren aufsetzend auf Internet-Schichten.  32

7.2.1  Sicherheitsverfahren im Überblick  32

7.2.2  Sicherheitsverfahren auf der Vermittlungsschicht  32

7.2.3  Sicherheitsverfahren auf der Transportschicht.  34

7.2.4  Sicherheitsverfahren auf der Anwendungsschicht  35

2

8.  Zugriffsschutz.  38

8.1  Firewall.  38

8.2  Authentisierung.  40

8.2.1  Passwort  40

8.2.2  Biometrisch  41

8.2.3  Ausweis / SmartCard  42

9.  Fazit.  42

3

Das Internet, mit seinen kommerziellen wie nicht-kommerziellen Möglichkeiten erlebt einen starken Boom. Kaum eine andere Technik hat in so kurzer Zeit eine so starke weltweite Verbreitung gefunden. Unternehmen sehen in dieser Technologie vor allem ein Einsparungspotential durch erweiterte Automatis ierungs- und Verteilungsmöglichkeiten. Mögliche Gefahren gingen in der Euphorie der letzten Jahre bei vielen Anbietern fast völlig unter. Das Bewusstsein für gravierende Sicherheitsrisiken ist derzeit nur schwach ausgeprägt. Darüber hinaus entstehen allein in den USA Milliardenschäden an der Volkwirtschaft, wenn Hacker Viren einschleusen, Mails abhören oder sensible Daten, wie z.B. Kreditkartennummern mitprotokollieren.

Die Dunkelziffer von Attacken ist hoch, da vor allem renommierte Unternehmen aus Imagegründen ungern Einbrüche zugeben mögen. Außerdem bleiben Angriffe teilweise unbemerkt. Beispiele gibt es jedoch genug: Anfang Januar war es einem russischen Hacker gelungen in das Computersystem des US-amerikanischen Musikversenders CD Universe einzudringen. Dabei stahl er die Kreditkartedaten von rund 300 000 Kunden. Da der Versender nicht auf seine Erpressungsversuche einging, veröffentlichte er Daten von rund 25000 Kunden im Internet - frei für jedermann abrufbar. Im April dieses Jahres beantragten Unbekannte bei der Registrierungsstelle für internationale Domainnamen Network Solutions (NSI) mit Sitz in den USA, eine Veränderung der Internetanschrift „gmx.net“. Diesem Antrag kam NSI ohne Einverständnis von GMX nach. Die Folge war, dass alle Adressen mit der Endung „gmx.net“ nicht mehr auf den Name-Server führten, sondern ins Nirwana ¹ . Am 28. August 1999 meldete die Süddeutsche Zeitung unter dem Titel „Riesentrottelei“ vom für die Betroffenen peinlichen Auftreten eines neuen Computervirus in Japan: „Die Fuji-Bank hat Geschäftspartner in aller Welt versehentlich per elektronischer Post beleidigt. In der Nachricht wurden die Empfänger als „blöde Riesentrottel“ beschimpft, wie die Bank mitteilte. Das Computervirus war an eine E-Mail gekoppelt, mit der die Bank in der vergangenen Woche ihre geplante Fusion mit zwei weiteren japanischen Banken zur größten Bank der Welt bekannt gab ² . Dies sind nur einige von vielen Meldungen.

Datensicherheit ist im weltweiten Wettbewerb ein ernstzunehmender Faktor im Durch Unterschätzen der Wichtigkeit dieses Faktors können gerade den im E-Commerce tätigen Unternehmen große Schäden entstehen, die Anfangs vor allem Imageverfall, letztendlich aber negative Konsequenzen für den Geschäftserfolg bedeuten können. Im Rahmen dieser Seminararbeit sollen im Abschnitt B

¹ vgl.: GMX-Infomail vom 24.3.2000

4

wichtige, zu diesem Thema gehörende Begriffe, Anforderungen an die Datensicherheit und mögliche Angriffspunkte auf die Sicherheit dargestellt werden. Im darauffolgenden Abschnitt C soll erläutert werden, wie Gefahren abzuwenden sind, indem beispielhaft die wichtigsten Lösungsmöglichkeiten und ihre Funktionsweise dargestellt werden.

² vgl.: Matzer (1999), S. 21

5

B. Grundlagen zur Sicherheit von Daten im Electronic Commerce

1. Definitionen

1.1 Was ist Elektronischer Handel?

Mit Electronic Commerce können alle Handelsgeschäfte bezeichnet werden, bei denen ein oder mehrere Schritte (Werbung, Angebotspräsentation, Auswahl, Bestellung, Bezahlung, Auslieferung, Benutzung) mittels elektronischer Kommunikationsmedien abgewickelt werden ³ . Beim Electronic Commerce gibt es verschiedene Businessmodelle, die wir im folgenden kurz erläutern möchten.

Unter einem Online Storefront oder einem Marketplace versteht man eine Internet-Handelplattform, durch die mittels elektronischer Kommunikationsmedien Zulieferer, Händler, Niederlassungen bis hin zu Endkunden in den Informationsfluss eines Unternehmens eingebunden werden können und so der Direktvertrieb von Gütern bzw. Dienstleistungen ermöglicht wird ⁴ . Beispiele hierfür sind www.quelle.de, www.amazon.de, www.cisco.com

Wenn mehrere virtuelle Einkaufsstätten zu einem elektronischen Einkaufszentrum integriert werden, spricht man von einem Electronic Shopping Mall wie z.B. www.fashionmall.de, www.shoppingmall.de, www.boulevard24.de. Dem Kunden liegen hier die Angebote in gebündelter Form unter einer elektronischen Adresse vor.

Eine Auction-Site bietet die Möglichkeit sich online an einer Versteigerung zu beteiligen. Dabei erfolgt der Versteigerungsaufruf über das WWW. Die Angebote können innerhalb eines definierten Zeitraumes abgegeben werden. Beispiele sind: www.12snap.de, www.carauktion.de, www.ebay.de

Mit Portalen sind alle Seiten gemeint, die als Einstiegsseite in das Internet dienen. Web-Nutzer sollen eine solche Seite als Ausgangspunkt für ihren Online-Aufenthalt nutzen. Hierzu gehören Suchmaschinen und Suchkataloge, Online-Dienste von Internet-Service-

³ vgl.:BSI (1999), S. 2f.

⁴ URL://www.electronic-commerce.org/report/b2b/3-extranet.htm v. 10.04.2000

6

Providern (ISP) sowie auch Web-Seiten mit einer Ansammlung von Verweisen (Hyperlinks). Beispiele sind: www.msn.de, www.yahoo.de, www.aol.com Das Ziel einer Virtual Community ist es, die Bedürfnisse einer bestimmten Nutzerschicht zu befriedigen. Dazu werden Plattformen mit spezifischen Produktangeboten, Kommunikationsforen und Informationsdiensten geschaffen. Um die Bedürfnisse einer Zielgruppe möglichst vollständig zu befriedigen, werden die Angebote mehrerer Anbieter unter einem Dach eines „Community Providers“ integriert. Im B2B-Bereich übernehmen immer häufiger solche Service-Provider (ISP) die Vermittlung von Angebot und Nachfrage durch Branchen und Industriespezifische Plattformen. Mit sogenannten vertikalen Marktplätzen oder eMarketplaces bieten sie Handelsplattform und

Kommunikationsplattform in einem ⁵ . Der ISP stellt ein geschlossenes, abgesichertes Netzwerk zur Verfügung, über das Unternehmen direkt Handel betreiben können. Zusätzlich können durch Zugriffsschutz gesicherte Bereiche (closed user groups) Conferencing-Systeme für gemeinsame Produktentwicklung, Dateitransfers und der direkte Zugang zu Produkt-, Bestell-, und Finanzinformationen zur Verfügung gestellt werden ⁶ . Beispiele sind: www.investornet.de, www.enx.de

1.2 Was versteht man unter Datensicherheit und Datenschutz?

Datenschutz ist der Sammelbegriff für alle gesetzlichen und betrieblichen Maßnahmen zum Schutz personenbezogener Daten vor Verlust (z.B. Diebstahl der Kundendatei) oder Verfälschung (z.B. Überschreiben von Daten). Aufgabe des Datenschutzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in unzulässiger Weise in seinem Recht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen („Recht auf informationelle Selbstbestimmung“). Die Verarbeitung personenbezogener Daten ist daher nur zulässig, wenn ein Gesetz oder eine andere Rechtsvorschrift sie erlaubt, anordnet oder soweit der Betroffene eingewilligt oder in Form eines Vertrages zugestimmt hat. Jede andere Vereinbarung ist unzulässig ⁷ . Eine in der EDV wichtige Vorkehrung zum Schutz von Daten ist der Begriff „Datensicherheit“ (engl.: data security). Datensicherheit beinhaltet die

⁵ URL://www.electronic-commerce.org/report/b2b/4-marketplaces.html v. 20.04.2000 ).

⁶ Vgl.: Märkte auf Netzen II (SS 1999), Kapitel 5 Folie 4-22

⁷ URL://www.bfd.bund.de/technik/DSKAP/35.htm v. 28.04.2000

7

Verhinderung von Datenverlust oder Datenverfälschung. Durch vorbeugende Maßnahmen soll die jederzeitige Vollständigkeit und Korrektheit der Daten gewährleistet werden ⁸ .

1.3 Ablaufschritte im internationalen elektronischen Handel

In diesem Kapitel sollen die Ablaufschritte bei internationalem elektronischen Handel betrachtet werden, anhand derer in Kapitel 2 die Anforderungen für den erfolgreichen Ablauf von Geschäftsvorgängen über elektronische Kommunikationsmedien explizit aufgestellt werden. Von besonderem Interesse sind die Fälle von Electronic Commerce, bei denen möglichst viele Schritte der Phasen Information, Vereinbarung, Auslieferung und After Sales elektronisch durchgeführt werden können, wobei in Abhängigkeit davon, ob es sich bei dem Produkt um digitale oder physische Ware handelt, die Auslieferung und Benutzung nicht immer elektronisch erfolgen kann.

Den elektronischen Markt kennzeichnen sechs typische Transaktionsphasen, bei denen die verschiedenen Marktteilnehmer Informationen austauschen:

• Die Marktinformationsbeschaffung dient der Informationsbereitstellung über das

Marktgeschehen (z.B. Markt, Marktteilnehmer, Branchen, gesamtwirtschaftliche Rahmeninformationen), um das Absetzen von Angeboten und Nachfragen zu ermöglichen. Insbesondere bei der Komplexität globaler Märkte bedarf es hier vertrauenswürdiger Informationen.

• Die Marktpartnersuche ermöglicht die Zusammenführung von Markteilnehmern

aufgrund komplementärer Angebote und Nachfragen. Benötigt werden Informationen über die potentiellen Handelspartner, sowie gezielte Produktinformationen. Häufig unterstützen in dieser Phase vermittelnde Intermediäre. Da im internationalen Geschäftsverkehr aufgrund der räumlichen Distanz die herkömmliche Face-To-Face Kommunikation oft nicht praktikabel ist, ist es besonders wichtig, auf die Authentizität der Marktpartner vertrauen zu können.

• Bei Partnerinformationsbeschaffung sollen detaillierte Informationen über konkrete

Marktpartner bereitgestellt werden. Von Interesse sind hierbei Informationen über das Unternehmen bzw. den Kunden, allgemeine Produktinformationen, CAD-Daten, eine Bonitätsauskunft, Referenzen etc. Hier werden zum großen Teil höchst sensible

⁸ URL://www.wu-wien.ac.at/glossar/8-1_1.htm v. 02.05.2000

8

Informationen übermittelt, deren Vertraulichkeit und Unverfälschtheit sichergestellt sein muss.

• In die Vertragsaushandlung fließen Informationen wie Abschlusskonditionen oder

vertragsrechtliche Aspekte. Diese Phase kann in den Abschluss eines Vertrages münden, der die verbindliche Einigung zum Austausch eines Gutes oder einer Dienstleistung gegen einen bestimmten Preis festhält. Wie im herkömmlichen Geschäftsverkehr müssen solche Verträge, gemäß den landesspezifischen Bestimmungen, rechtlich einwandfrei sein.

• In der Phase Transaktionsabwicklung erfolgen operative Abläufe. So müssen

Finanzinformationen, Versicherungsinformationen, Rechnungen, insbesondere der Zahlungsvorgang, und bei physischen Produkten zusätzlich Lieferanzeigen,

Frachtpapiere, Zollformulare, sowie weitere für die Abwicklung einer Markttransaktion wichtigen Informationen ausgetauscht werden.

• Die Servicephase zielt ab auf eine Steigerung der Kundenbindung. Zusätzlich zur

Kernleistung werden hier Zusatzleistungen und Serviceleistungen auf Internetbasis (Electronic Customer Care) offeriert und nachgefragt.

Es ist somit ersichtlich, dass eine große Menge an teils vertraulicher Informationen innerhalb der jeweiligen Organisationen sowie zwischen einer Vielzahl von räumlich getrennten Markteilnehmern über elektronische Kommunikationsmedien ausgetauscht werden. Die Kommunikation erfolgt dabei innerhalb von Unternehmen über sogenannte Intranets. Dies sind IP-basierte Netzwerke für unternehmensinterne Benutzergruppen zur Unterstützung des Kommunikationsprozesses und der Informationsverteilung, die über Schnittstellen auf die betriebliche Datenverarbeitung zugreifen können ⁹ . Darüber hinaus können Intranets auch die Schnittstelle für den Datenaustausch über das Internet zur Verfügung stellen, so dass externe Personengruppen in das Netzwerk einbezogen werden können. Dies ermöglicht somit die Einbindung des Kunden bzw. des zwischenbetrieblichen Datenaustausches.

⁹ URL://www.electronic-commerce.org/report/b2b/index.html v. 10.04.2000

9