Sicherheit im kommerziellen Intra- und Extranet

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1. Einleitung
1.1 Stellenwert Sicherheit
1.1.1 Datenschutz – Bedeutung und Risiko
1.1.2 Gesetz und Notwendigkeit

2. Technisches Umfeld
2.1 Das Internet: Unendliche Weiten und unendliche Gefahren
2.2 Corporate Unity: Das Intranet
2.2.1 Hilfe, Spar- und Risikofaktor in einem
2.2.2 Beispiel: Lufthansa
2.3 E-Commerce
2.3.1 Der (digitale) Markt
2.3.2 Richtlinien nach der OECD
2.4 E-Payment : E-Geld und Geldpolitik
2.5 Verschlüsselungsmechanismen
2.5.1 Symmetrische und asymmetrische Verschlüsselung
2.5.2 Rivest-Shamir-Adleman (RSA)
2.5.3 3DES
2.5.4 Pretty Good Privacy (PGP)

3. Generelle Gefahrenpotentiale
3.1 Risiko Datenübertragung
3.1.1 SSL-Verschlüsselung & Zertifikate
3.1.2 Konzernweite Intranets mit VPN
3.2 Standortsicherheit
3.2.1 Die neue Vielfalt – Angriffskategorien und Verteidigungsmöglichkeiten
3.2.1.1 Einleitung
3.2.1.2 DoS-Attacke
3.2.1.3 Informationlecks – Tiefer ins Web
3.2.2 Kriegsverhindernde Präventivmethoden
3.2.2.1 Firewalls und Virenprogramme
3.2.2.2 Intrusion Detection Systeme (IDS)
3.2.2.3 Beispiel: Einsatz von Trojanern

4. Focus: Zahlungssysteme
4.1 Kein Standard in Sicht: Auf- und Niedergang von SET
4.2 Alternativen zur bargeldlosen Bezahlung
4.2.1 Bankeinzug & Nachnahme
4.2.2 Weit verbreitet, wenig genutzt: Die GeldKarte
4.2.3 Die klassische Variante: Kreditkarten
4.2.4 Handy-Hype mit Nutzen: Paybox
4.2.5 Online-Services: FirstGate click&buy
4.2.6 TeleCash Click&Pay
4.2.7 Wire Card
4.2.8 Postsparkasse Österreich
4.2.9 X-PressPay
4.3 Zahlungssysteme allgemein
4.4 Biometrische Authentifikation
4.4.1 Was sind Biometrische Systeme?
4.4.2 Bedeutung und Entwicklung

5. Der Weg zum Sicherheitskonzept
5.1 Wichtig IST die Planung
5.1.1 Netzwerkinfrastruktur
5.1.2 Intranet
5.1.3 „Du kannst doch nicht einfach...“
5.2 Wohin SOLL das führen...
5.2.1 Wieviel Sicherheit ist nötig?
5.2.2 Kampf der Bequemlichkeit

6. Fazit
6.1 Knackpunkt Budget – guter Rat ist teuer
6.2 Relaunch dank Innovation: Die neue Armbanduhr
6.3 Weg in die Zukunft: Gibt es die absolute Sicherheit?

7. Anhang

Quellenangaben

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Anzahl registrierter Domains 1992-1996, Kyas, O. (Internet professionell, Technologische Grundlagen und praktische Nutzung), 1. Auflage, Thomson Publishing, Bonn 1996, S.

Abbildung 2: Beispiel eines Intranets, Electronic Service Center, http://www.esc.de/grafik/firewall-wartung-beispiel.JPG, 10.01.03

Abbildung 3: SSL-Protokollstapel Stallings, W. (Sicherheit im Internet), München 2001, S. 271

Abbildung 4: C-2-C VPN-Verbindung Eigene Darstellung

Abbildung 5: C-2-S VPN-Verbindung Eigene Darstellung

Abbildung 6: S-2-S VPN-Verbindung Eigene Darstellung

Abbildung 7: Komponenten einer SET-Transaktion Ghosh, A.K. (E-Commerce Security), New York 1998, S. 131

Abbildung 8: Bevorzugte Zahlungsmethoden (mit Mehrfachnennungen), Eigendarstellung nach Daten der Universität Karlsruhe, http://iww.uni-karlsruhe.de/IZV4/auswertung/bezahlen.htm, 11.02.03

Abbildung 9: Kreislauf einer GeldKarten-Transaktion, S. 32 Betriebswirtschaftliches Institut der Deutschen Kreditgenossenschaften, http://www.bik.de/gfx/kreislauf.jpg, 12.02.03

Abbildung 10: Funktionsweise Netzbetreiber, http://www.zahlungsverkehrsfragen.de/netzbetreiber.gif, 13.02.03

Abbildung 11: Beschaffenheit des Auges, Anonymous (Linux Hacker´s Guide), Markt&Technik Verlag, München 2000,

Abbildung 12: Zusammenhang der Fehlerraten biometrischer Systeme, Teichmann/Nonnenmacher/Henkel (E-Commerce & E-Payment), Wiesbaden 2001,

Abbildung 13: Komplexität eines Sicherheitskonzeptes,Kompetenznetz, http://www.kompetenznetz-lymphone.de/Kompetenznetz/Projekte/Telematik/Sicherheitskonzept/
praesentation, 24.02.03

Abbildung 14: Auswirkungen von E-Commerce auf eine Unternehmung, Teichmann/Nonnenmacher/Henkel (E-Commerce & E-Payment), Wiesbaden 2001,

1. Einleitung

1.1. Stellenwert Sicherheit

1.1.1. Datenschutz – Bedeutung und Risiko

Mit Beginn der Elektronisierung sensibler Personendaten tat sich der EDV-Welt ein bis dato unbekanntes Problem auf. Konnten bisher auf Karteikarten und Papier befindliche Daten durch simple aber doch sinnvolle Zugriffsschutzmaßnahmen wie Unterschriften geschützt werden, so sind diese Daten heute in elektronischer Form weitaus mehr Gefahren ausgesetzt. Diese breite Spanne von Gefahren beginnt bei der einfachen Authentifizierung (wer auf eine Datei zugreifen darf), geht über den Bereich Zugriffsschutz bei der Datenübertragung (Stichwort Verschlüsselung) und mündet letztlich in den Schutz des Endsystems an sich.

[Abbildung in dieser Leseprobe nicht enthalten] Abb. 1: Anzahl registrierter Domains 1992 – 1996 ^[1]

Mit dem explosionsartigen Wachstum des Internets (die, wie der Grafik zu entnehmen ist, exponentiell steigt) nimmt auch die Häufigkeit der externen Übergriffe zu: 1995 sind 24% der Unternehmen mit Internetanbindung Opfer solcher Übergriffe geworden. ^[2] Mittlerweile sollte dieser Wert aufgrund des technologischen Fortschritts weit höher liegen. Auch die Vielfalt der Bedrohungen steigt stetig – Viren, Backdoor-Programme und Trojaner, Hacker und Lauschangriffe sind an der Tagesordnung. Die Wissenschaften zur Kryptografie und Netzwerk- bzw. Endsystemsicherheit sind jedoch mittlerweile so weit gereift, dass zweckmäßige und schnell einsatzbereite Anwendungen und Schutzmechanismen zum Erreichen von Netzwerksicherheit zur Verfügung stehen.^[3]

1.1.2. Gesetz und Notwendigkeit

Die stetige und noch ausbaufähige Entwicklung des E-Commerce macht eine grundlegende Überlegung zum Thema Datenschutz unumgänglich, werden hier doch alle relevanten Daten in rein elektronischer Form eingegeben, versendet, empfangen und verarbeitet. Sensible Daten wie Anschrift, Kreditkarten- oder Kontoinformationen und Kaufverhalten bedürfen strengster Sicherheitsvorkehrungen. Der Gesetzgeber gibt im Bundesdatenschutzgesetz ^[4] Richtlinien nicht nur für diesen Bereich des elektronischen Datenverkehrs vor, die eine Auseinandersetzung mit dem Thema Datenschutz unumgänglich machen. Das Gesetz unterscheidet hierbei zwischen „automatisierten und nicht-automatisierten Dateien“ (vgl. §1 Abs. 3.1 BDSG). Der Schutz der Daten gilt von Grund auf generell, sodass Personen, die in Kontakt mit diesen Daten kommen, „auf das Datengeheimnis zu verpflichten“ sind (Zitat, §5 „Datengeheimnis“, BDSG).

In den tiefen Weiten des Internets nimmt die Zahl der „normalen User“ ebenso zu wie die der feindlich gesinnten. Mit immer preisgünstigeren Angeboten und vereinfachten Zugangsmethoden werden auch für Hacker perfekte Voraussetzungen geschaffen, um elektronische Verbrechen zu begehen. Als Beispiel sei hier nur das DSL-Angebot genannt. Die Teilnehmer wählen sich überall in Deutschland mit der Rufnummer „0“ ein, was eine Verfolgung auf den Anschluss eines Internetnutzers unmöglich macht. Denn selbst wenn man die IP herausfindet, so ist sie über den ISP trotzdem nur an die Rufnummer „0“ gekoppelt, womit Tausende von Usern in Frage kämen.

Hinkt Deutschland in der Internetentwicklung und der Preisgestaltung des Internets im Vergleich mit den „Großen“ noch hinterher, so ist es für Hacker im Ausland (beispielsweise in den USA) entsprechend günstiger und einfacher, Interventionen zu praktizieren. Ein anderes Problem ist jedoch die Rechtslage: Zwar deckt das BDSG den Punkt Datenschutz im Bereich des Schutzes persönlicher Daten ab, doch fehlen in der aktuellen Rechtslage immer noch Komponenten zur Behandlung von Eindringlingen in Rechnersystemen bzw. zur Belangung von „Internetkriminellen“ im Allgemeinen. Was auf bundeseinheitlicher Ebene nicht präsent ist, wird aber mittlerweile auf europäischer Bühne vehement diskutiert, sodass hier demnächst eine EU-Richtlinie bezüglich des Datenschutzes im Internet zu erwarten sein wird.

Die folgenden Seiten sollen die Sachverhalte zwischen E-Commerce, aufzuwendender Sicherheitstechniken, drohenden Gefahren und allgemeinen Gesichtspunkten im Intra- und Internet aufzeigen und einen Gesamtüberblick über die Thematik stellen.

2. Technisches Umfeld

2.1. Das Internet – Unendliche Weiten und unendliche Gefahren

Ausgangspunkt des E-Commerce ist – egal ob im Inter- oder Intranet – ein Webserver des Unternehmens. Anders als bei nur „gestreamten“ Diensten wie Videotext oder Faxabrufen ist der Webserver im Internet Teil einer Client/Server-Umgebung.

Das Internet

Zunächst soll die Umgebung beschrieben werden, in der sich das E-Commerce bewegt. Das Internet ist ein weltumfassendes dezentrales Netz miteinander verknüpfter Computersysteme. ^[5] Basis dieser Verknüpfung ist ein Protokoll namens TCP/IP, welches jedem Rechner eine logische Internetadresse (IP) zuweist. Mittels verschiedener Routing-Verfahren werden die Daten zwischen den Computern im Internet ausgetauscht. Der Begriff der Client/Server-Umgebung kommt daher zustande, dass es immer einen Service anfragenden (Client) und einen Service bereitstellenden (Server) Computer gibt. Innerhalb dieser Umgebung gibt es verschiedene Dienste (Services) und Anwendungen, die von einem Client in Anspruch genommen werden können. Die bekanntesten Dienste sind das „E-Mailing“ und das World Wide Web (WWW), in dem man sich mit einem Webbrowser wie dem „Internet Explorer“ oder dem „Netscape“ bewegen kann. Dieser Webbrowser stellt bei Eingabe einer Internet-Adresse (URL) eine Anfrage an das betreffende System und darauf antwortet immer ein FTP- oder Webserver, der auf dem Zielsystem installiert ist.

Der Webserver

Im E-Commerce kommt in der Regel immer ein Webserver zum Einsatz. Er bearbeitet die eingehenden Seitenanfragen und schickt Daten an den Client zurück, damit dessen Browser das Ergebnis darstellen kann. Diese Webserver beinhalten normale Webseiten genauso wie komplette Onlineshops. Zu dessen Realisierung ist der Webserver mit etwaigen Datenbanksystemen (wie zum Beispiel MySQL) oder Programmiersprachen wie PHP oder ASP verknüpft. Die am häufigsten sich im Einsatz befindlichen Webserversysteme sind der frei erhältliche (open source) Apache und der von Microsoft entwickelte Microsoft Internet Information Service (MIIS).

Sicherheitsaspekte

Wenn sich also Client und Server kommunizieren, dann werden Daten bi- wenn nicht sogar unidirektional gesendet und empfangen. Standort dieses Webservers ist zudem meist das firmeninterne LAN – und das macht ihn für Angriffe jeglicher Art empfänglich und zu einem beliebten Opfer. Oft sind sich die Abteilungen Entwicklung und Management der Risiken gar nicht bewusst und versuchen hier Kosten zu sparen. Sind erst einmal Hacker auf dem System, stehen ihnen Tür und Tor offen: Das Abfangen von Daten, die von Benutzern der Webpage eingegeben werden oder Intervention im betriebsinternen Datenverkehr sind kein Problem mehr. So sind beispielsweise folgende Angriffstypen möglich:^[6]

»Man in the Middle«

Der Angreifer schaltet sich in eine bestehende Verbindung ein und gibt sich dem Client gegenüber als Server und dem Server gegenüber als Client aus.»Password-Sniffing«

Im HTTP- oder einem anderen Anwendungsverkehr werden Passwörter abgefangen.»IP-Spoofing«

Hier werden fiktive Adressen benutzt, um einen Server zu verleiten, gefälschte Daten (wie etwa Benutzernamen) zu akzeptieren.

- »IP-Hijacking«

Der Angreifer schaltet sich hierbei wie beim „MitM“-Angriff in eine bestehende Verbindung ein, übernimmt die IP des Clients und isoliert ihn von der Verbindung.

»SYN-Flooding«

Mittels TCP-SYN-Messages werden vom Server Verbindungen angefragt, aber nicht bestätigt. Das hat zur Folge, dass der Server mit offenen Verbindungen beladen wird, da es eine Weile dauert, bis eine unbeantwortete Verbindungsanfrage wieder geschlossen wird.

Eine nicht-korrekte Funktionsweise des Webservers zieht nicht nur sicherheitstechnische Probleme nach sich, sondern auch image-relevante, denn der Webauftritt eines Unternehmens (re-)präsentiert das Unternehmen als solches. Treten Fehler auf oder werden Daten veruntreut, kann dies das Ende des elektronischen Handels für diese Unternehmung bedeuten.
Ein nicht zu unterschätzendes Problem ist auch die Passwortvergabe. Viele Benutzer – und das schließt Administratoren nicht aus – machen sich keine Mühe, komplizierte Passwörter zu erlernen und zu verwenden. Das macht es einem Hacker oft sehr leicht, in unternehmensinterne Systeme einzudringen.

2.2. Corporate Unity – das Intranet

2.2.1. Hilfe, Spar- und Risikofaktor in einem

Was das Internet im großen Stil ist, ist das Intranet auf Unternehmensebene. Es befähigt sich der gleichen Technik, basiert ebenfalls auf dem Protokoll TCP/IP und ist in der Lage, verschiedene Unternehmensbereiche getrennt vom Internet aber darauf basierend zu verbinden. So können auf einfache Weise Informationen und Dienste auf dem Intranet-Webserver bereitgestellt werden, die im ganzen Unternehmen (und nur dort) nutzbar sind.

Sind mehrere Standorte einer Unternehmung oder eines Konzerns vorhanden, so lassen diese sich ebenfalls in einem Intranet zusammenführen (siehe 3.1.2). Die Nutzung dieser Technik kann für ein Unternehmen enorme Effekte wie Kostensenkung, Produktivitätssteigerung oder auch Verbesserung der Zufriedenheit bei Kunden und Mitarbeitern haben. Ein beliebter Anwendungsbereich ist zum Beispiel die Arbeitszeiterfassung (alle Mitarbeiter können online Arbeitszeiten eingeben, Tätigkeiten angeben und verwalten, Urlaub beantragen und einsehen, etc.), die auf Basis der eingegebenen Daten weiterführende Analysen zum Beispiel zu der Auslastung einzelner Mitarbeiter oder Abteilungen erlaubt. Ein weiteres Anwendungsbeispiel kann die komplette Verlinkung von Onlinebestellungen, Einkauf, Verkauf und Vertrieb bzw. Versand sein.
Was sich in den Erwartungen euphorisch anhört, bedeutet technisch jedoch einiges an Arbeit. So müssen Transaktionen von außen ebenso wie von innen verschlüsselt betrieben werden. Um die einzelnen Unternehmensstandorte zu einem Intranet zu vereinen, kann man sich zum Beispiel des Mediums Internet bedienen, da dieses kostengünstig und nahezu überall verfügbar ist. Ein IP-Tunnel via IPSec im Tunnelmodus ermöglicht hier die Abgrenzung des firmeneigenen Verkehrs vom Rest des Internets:

[Abbildung in dieser Leseprobe nicht enthalten]Abb. 2: Beispiel eines Intranets ^[7]

Wie hier im Beispiel gut zu sehen ist, setzen Firmen diese Möglichkeit häufig auch dazu ein, mobilen Mitarbeitern den Zugriff auf firmeninterne Ressourcen zu gewähren. Ohne ein ausgereiftes Zusammenspiel von Autorisationstechniken stehen hier dem Angreifer alle Möglichkeiten offen.
Mit zunehmender Zusammenführung der Bereiche eines Unternehmens steigt der Bedarf an Richtlinien und Sicherheitskonzepten, die leider allzu oft vernachlässigt werden. So gibt es immer noch Unternehmen, die sich mit Standardpasswörtern und ohne Firewall im Internet bewegen.

2.2.2. Beispiel: Lufthansa

Ein gutes Beispiel dafür, warum Intranets eine so große Bedeutung haben und weiterhin an Bedeutung gewinnen werden, liefert die Lufthansa. Dort werden CRMS (Customer Relationship Management System) und Einkauf, Marketing, Vertrieb und weitere Bereiche miteinander vernetzt. So sind die Kundendaten meist dort verfügbar, wo sie gebraucht werden.

Für den Einkauf stellt sich das Intranet als besonders praktisch dar. Jeder Mitarbeiter kann im Bereich seines Verfügungsrahmens „online“ seine benötigten Artikel bestellen, sei es den Bleistift, einen Stapel Kopierpapier oder einen neuen Bürostuhl. Automatisch geht die Bestellung an den Partner Trimondo, das Inventar wird automatisch aktualisiert. Einfacher geht es nicht. So hat der Einkauf viel mehr Zeit, sich um Wesentliches zu kümmern. Und man spart auch noch dabei: Seit es dieses System gibt, sind die Transaktionskosten von durchschnittlich 112 Euro auf aktuell ungefähr 1,84 Euro gesunken.^[8] Der Anwendungsbereich geht auch soweit, dass die Webpages einzelner Standorte (auch derer im Ausland) in eine Corporate Identity eingebunden werden können, folglich auch alle gleich oder ähnlich designt sind. Aber gerade diese übergreifende Zusammenführung birgt auch enorme Risiken in sich und fordert reifes Überlegen. Die Rechtevergabe an Mitarbeiter, Zugriffsrechte auf Ressourcen und Verfügungsrahmen sind nur einige wenige Punkte, die zu einem stimmigen Sicherheitskonzept gehören. Denn: Der Angriff muss ja nicht immer nur von außen kommen...

2.3. E-Commerce

2.3.1. Der (digitale) Markt

Immer dort, wo viele Menschen miteinander verkehren und sich tummeln, lohnt es sich, Geschäfte zu machen. Das Prinzip des „realen Marktes“ mit seinen vier teilnehmenden Gruppen (Nachfrager, Anbieter, Händler und Zwischenhändler) lässt sich demnach auch auf das Internet und somit auf das E-Business übertragen. Auch hier tummeln sich Millionen von Menschen und die Möglichkeiten dabei Geld zu verdienen sind immens. Wir sprechen also von der Substitution des realen Marktes durch einen „virtuellen Markt“, auf dem die genannten Gruppen genauso vertreten sind und durch digitale Prozesse miteinander interagieren. Diesen virtuellen Markt nennt man daher auch „digitaler Markt“.^[9] Ein Unterschied zum realen Markt besteht allerdings darin, dass es sich beim digitalen Markt um eine n:n-Beziehung handelt, dass heißt, dass hier viele Anbieter (und demnach auch viele Händler bzw. Zwischenhändler) auf viele Nachfrager treffen. Ein 1:1-Gespräch, wie man es zum Beispiel vom Wochenmarkt gewohnt ist, wird es hier nie geben können.

[...]

^[1] Quelle: Kyas, O. (Internet professionell), Thomson Publishing, 1996, S. 105.

^[2] Vgl. Kyas, O. (Internet professionell), Thomson Publishing, 1996, S. 411.

^[3] Vgl. Stallings, W. (Sicherheit im Internet), 2001, S. 11.

^[4] Vgl. Bundesdatenschutzgesetz (BDSG), Quelle: http://www.bfd.bund.de/information/info1/info125.htm, 02.01.03.

^[5] Vgl. http://www.altenforst.de/faecher/paeda/idefin.htm, 09.01.2003.

^[6] Vgl. Stallings, W. (Sicherheit im Internet), 2001, S. 309.

^[7] Quelle: Electronic Service Center, http://www.esc.de/grafik/firewall-wartung-beispiel.JPG, 10.01.03

^[8] Vgl. Müller, E. (Lufthansa: Abheben im Internet), www.manager-magazin.de, 19.01.2003.

^[9] Vgl. Teichmann/Nonnenmacher/Henkel (E-Commerce und E-Payment), 2001, S. 17f.