Abschlussarbeit  Sicherheitsaspekte im kommerziellen Intra- und Internet  

Seite   I

Inhalts  übersicht  

I  N H A L T S V E R Z E I C H N I S  I

A  B K Ü R Z U N G S V E R Z E I C H N I S  III

A  B B I L D U N G S V E R Z E I C H N I S  V

1.  E I N L E I T U N G  1

1.1  Stellenwert Sicherheit  1

1.1.1  Datenschutz - Bedeutung und Risiko  1

1.1.2  Gesetz und Notwendigkeit  2

2.  T E C H N I S C H E S U M F E L D  4

2.1  Das Internet: Unendliche Weiten und unendliche Gefahren  4

2.2  Corporate Unity: Das Intranet  6

2.2.1  Hilfe, Spar- und Risikofaktor in einem  6

2.2.2  Beispiel: Lufthansa  8

2.3  E-Commerce  9

2.3.1  Der (digitale) Markt  9

2.3.2  Richtlinien nach der OECD  10

2.4  E-Payment : E-Geld und Geldpolitik  11

2.5  Verschlüsselungsmechanismen  14

2.5.1  Symmetrische und asymmetrische Verschlüsselung  14

2.5.2  Rivest-Shamir-Adleman (RSA)  15

2.5.3  3DES  16

2.5.4  Pretty Good Privacy (PGP)  17

3.  G E N E R E L L E G E F A H R E N P O T E N T I A L E  18

3.1  Risiko Datenübertragung  18

3.1.1  SSL-Verschlüsselung Zertifikate  18

3.1.2  Konzernweite Intranets mit VPN  19

3.2  Standortsicherheit  22

3.2.1  Die neue Vielfalt - Angriffskategorien und Verteidigungsmöglichkeiten  22

3.2.1.1  Einleitung  22

3.2.1.2  DoS-Attacke  23

3.2.1.3  Informationlecks - Tiefer ins Web  23

3.2.2  Kriegsverhindernde Präventivmethoden  24

3.2.2.1  Firewalls und Virenprogramme  24

3.2.2.2  Intrusion Detection Systeme (IDS)  25

3.2.2.3  Beispiel: Einsatz von Trojanern  26

03.  März 2003 Bodo Brünger  

Abkürzungsverzeichnis

Abbildungsverzeichnis

1. Einleitung

1.1. Stellenwert Sicherheit

1.1.1. Datenschutz - Bedeutung und Risiko

Mit Beginn der Elektronisierung sensibler Personendaten tat sich der EDV-Welt ein bis dato unbekanntes Problem auf. Konnten bisher auf Karteikarten und Papier befindliche Daten durch simple aber doch sinnvolle Zugriffsschutzmaßnahmen wie Unterschriften geschützt werden, so sind diese Daten heute in elektronischer Form weitaus mehr Gefahren ausgesetzt. Diese breite Spanne von Gefahren beginnt bei der einfachen Authentifizierung (wer auf eine Datei zugreifen darf), geht über den Bereich Zugriffsschutz bei der Datenübertragung (Stichwort Verschlüsselung) und mündet letztlich in den Schutz des Endsystems an sich.

Abb. 1: Anzahl registrierter Domains 1992 - 1996 [1]

^[1] Quelle: Kyas, O. (Internet professionell), Thomson Publishing, 1996, S. 105.

Mit dem explosionsartigen Wachstum des Internets (die, wie der Grafik zu entnehmen ist, exponentiell steigt) nimmt auch die Häufigkeit der externen Übergriffe zu: 1995 sind 24% der Unternehmen mit Internetanbindung Opfer solcher Übergriffe geworden. ^[2] Mittlerweile sollte dieser Wert aufgrund des technologischen Fortschritts weit höher liegen. Auch die Vielfalt der Bedrohungen steigt stetig - Viren, Backdoor-Programme und Trojaner, Hacker und Lauschangriffe sind an der Tagesordnung. Die Wissenschaften zur Kryptografie und Netzwerk- bzw. Endsystemsicherheit sind jedoch mittlerweile so weit gereift, dass zweckmäßige und schnell einsatzbereite Anwendungen und Schutzmechanismen zum Erreichen von

Netzwerksicherheit zur Verfügung stehen. [3]

1.1.2. Gesetz und Notwendigkeit

Die stetige und noch ausbaufähige Entwicklung des E-Commerce macht eine grundlegende Überlegung zum Thema Datenschutz unumgänglich, werden hier doch alle relevanten Daten in rein elektronischer Form eingegeben, versendet, empfangen und verarbeitet. Sensible Daten wie Anschrift, Kreditkarten- oder Kontoinformationen und Kaufverhalten bedürfen strengster Sicherheitsvorkehrungen. Der Gesetzgeber gibt im

Bundesdatenschutzgesetz ^[4] Richtlinien nicht nur für diesen Bereich des elektronischen Datenverkehrs vor, die eine Auseinandersetzung mit dem Thema Datenschutz unumgänglich machen. Das Gesetz unterscheidet hierbei zwischen „automatisierten und nicht-automatisierten Dateien“ (vgl. §1 Abs. 3.1 BDSG). Der Schutz der Daten gilt von Grund auf generell, sodass Personen, die in Kontakt mit diesen Daten kommen, „auf das Datengeheimnis zu verpflichten“ sind (Zitat, §5 „Datengeheimnis“, BDSG).

^[2] Vgl. Kyas, O. (Internet professionell), Thomson Publishing, 1996, S. 411.

^[3] Vgl. Stallings, W. (Sicherheit im Internet), 2001, S. 11.

^[4] Vgl. Bundesdatenschutzgesetz (BDSG), Quelle: http://www.bfd.bund.de/information/info1/info125.htm, 02.01.03.

In den tiefen Weiten des Internets nimmt die Zahl der „normalen User“ ebenso zu wie die der feindlich gesinnten. Mit immer preisgünstigeren Angeboten und vereinfachten Zugangsmethoden werden auch für Hacker perfekte Voraussetzungen geschaffen, um elektronische Verbrechen zu begehen. Als Beispiel sei hier nur das DSL-Angebot genannt. Die Teilnehmer wählen sich überall in Deutschland mit der Rufnummer „0“ ein, was eine Verfolgung auf den Anschluss eines Internetnutzers unmöglich macht. Denn selbst wenn man die IP herausfindet, so ist sie über den ISP trotzdem nur an die Rufnummer „0“ gekoppelt, womit Tausende von Usern in Frage kämen.

Hinkt Deutschland in der Internetentwicklung und der Preisgestaltung des Internets im Vergleich mit den „Großen“ noch hinterher, so ist es für Hacker im Ausland (beispielsweise in den USA) entsprechend günstiger und einfacher, Interventionen zu praktizieren. Ein anderes Problem ist jedoch die Rechtslage: Zwar deckt das BDSG den Punkt Datenschutz im Bereich des Schutzes persönlicher Daten ab, doch fehlen in der aktuellen Rechtslage immer noch Komponenten zur Behandlung von Eindringlingen in Rechnersystemen bzw. zur Belangung von „Internetkriminellen“ im Allgemeinen. Was auf bundeseinheitlicher Ebene nicht präsent ist, wird aber mittlerweile auf europäischer Bühne vehement diskutiert, sodass hier demnächst eine EU-Richtlinie bezüglich des Datenschutzes im Internet zu erwarten sein wird.

Die folgenden Seiten sollen die Sachverhalte zwischen E-Commerce, aufzuwendender Sicherheitstechniken, drohenden Gefahren und

allgemeinen Gesichtspunkten im Intra- und Internet aufzeigen und einen Gesamtüberblick über die Thematik stellen.

2. Technisches Umfeld

2.1. Das Internet -

Unendliche Weiten und unendliche Gefahren

Ausgangspunkt des E-Commerce ist - egal ob im Inter- oder Intranet - ein Webserver des Unternehmens. Anders als bei nur „gestreamten“ Diensten wie Videotext oder Faxabrufen ist der Webserver im Internet Teil einer Client/Server-Umgebung.

Das Internet

Zunächst soll die Umgebung beschrieben werden, in der sich das E-Commerce bewegt. Das Internet ist ein weltumfassendes dezentrales Netz miteinander verknüpfter Computersysteme. ^[5] Basis dieser Verknüpfung ist ein Protokoll namens TCP/IP, welches jedem Rechner eine logische Internetadresse (IP) zuweist. Mittels verschiedener Routing-Verfahren werden die Daten zwischen den Computern im Internet ausgetauscht. Der Begriff der Client/Server-Umgebung kommt daher zustande, dass es immer einen Service anfragenden (Client) und einen Service bereitstellenden (Server) Computer gibt. Innerhalb dieser Umgebung gibt es verschiedene Dienste (Services) und Anwendungen, die von einem Client in Anspruch genommen werden können. Die bekanntesten Dienste sind das „E-Mailing“ und das World Wide Web (WWW), in dem man sich mit einem Webbrowser wie dem „Internet Explorer“ oder dem „Netscape“ bewegen kann. Dieser Webbrowser stellt bei Eingabe einer Internet-Adresse (URL) eine Anfrage an das betreffende System und darauf antwortet immer ein FTP- oder Webserver, der auf dem Zielsystem installiert ist.

Der Webserver

Im E-Commerce kommt in der Regel immer ein Webserver zum Einsatz. Er bearbeitet die eingehenden Seitenanfragen und schickt Daten an den Client

^[5] Vgl. http://www.altenforst.de/faecher/paeda/idefin.htm, 09.01.2003.

zurück, damit dessen Browser das Ergebnis darstellen kann. Diese Webserver beinhalten normale Webseiten genauso wie komplette Onlineshops. Zu dessen Realisierung ist der Webserver mit etwaigen Datenbanksystemen (wie zum Beispiel MySQL) oder Programmiersprachen wie PHP oder ASP verknüpft. Die am häufigsten sich im Einsatz befindlichen Webserversysteme sind der frei erhältliche (open source) Apache und der von Microsoft entwickelte Microsoft Internet Information Service (MIIS).

Sicherheitsaspekte

Wenn sich also Client und Server kommunizieren, dann werden Daten bi- wenn nicht sogar unidirektional gesendet und empfangen. Standort dieses Webservers ist zudem meist das firmeninterne LAN - und das macht ihn für Angriffe jeglicher Art empfänglich und zu einem beliebten Opfer. Oft sind sich die Abteilungen Entwicklung und Management der Risiken gar nicht bewusst und versuchen hier Kosten zu sparen. Sind erst einmal Hacker auf dem System, stehen ihnen Tür und Tor offen: Das Abfangen von Daten, die von Benutzern der Webpage eingegeben werden oder Intervention im betriebsinternen Datenverkehr sind kein Problem mehr. So sind beispielsweise folgende Angriffstypen möglich: [6]

• »Man in the Middle«

Der Angreifer schaltet sich in eine bestehende Verbindung ein und gibt sich dem Client gegenüber als Server und dem Server gegenüber als Client aus.

• »Password-Sniffing«

Im HTTP- oder einem anderen Anwendungsverkehr werden Passwörter abgefangen.

• »IP-Spoofing«

Hier werden fiktive Adressen benutzt, um einen Server zu verleiten, gefälschte Daten (wie etwa Benutzernamen) zu akzeptieren.

^[6] Vgl. Stallings, W. (Sicherheit im Internet), 2001, S. 309.

• »IP-Hijacking«

Der Angreifer schaltet sich hierbei wie beim „MitM“-Angriff in eine bestehende Verbindung ein, übernimmt die IP des Clients und isoliert ihn von der Verbindung.

• »SYN-Flooding«

Mittels TCP-SYN-Messages werden vom Server Verbindungen angefragt, aber nicht bestätigt. Das hat zur Folge, dass der Server mit offenen Verbindungen beladen wird, da es eine Weile dauert, bis eine unbeantwortete Verbindungsanfrage wieder geschlossen wird.

Eine nicht-korrekte Funktionsweise des Webservers zieht nicht nur sicherheitstechnische Probleme nach sich, sondern auch image-relevante, denn der Webauftritt eines Unternehmens (re-)präsentiert das Unternehmen als solches. Treten Fehler auf oder werden Daten veruntreut, kann dies das Ende des elektronischen Handels für diese Unternehmung bedeuten. Ein nicht zu unterschätzendes Problem ist auch die Passwortvergabe. Viele Benutzer - und das schließt Administratoren nicht aus - machen sich keine Mühe, komplizierte Passwörter zu erlernen und zu verwenden. Das macht es einem Hacker oft sehr leicht, in unternehmensinterne Systeme einzudringen.

2.2. Corporate Unity - das Intranet

2.2.1. Hilfe, Spar- und Risikofaktor in einem

Was das Internet im großen Stil ist, ist das Intranet auf Unternehmensebene. Es befähigt sich der gleichen Technik, basiert ebenfalls auf dem Protokoll TCP/IP und ist in der Lage, verschiedene Unternehmensbereiche getrennt vom Internet aber darauf basierend zu verbinden. So können auf einfache Weise Informationen und Dienste auf dem Intranet-Webserver bereitgestellt werden, die im ganzen Unternehmen (und nur dort) nutzbar sind.