Mit Beginn der Elektronisierung sensibler Personendaten tat sich der EDVWelt
ein bis dato unbekanntes Problem auf. Konnten bisher auf Karteikarten
und Papier befindliche Daten durch simple aber doch sinnvolle
Zugriffsschutzmaßnahmen wie Unterschriften geschützt werden, so sind
diese Daten heute in elektronischer Form weitaus mehr Gefahren
ausgesetzt. Diese breite Spanne von Gefahren beginnt bei der einfachen
Authentifizierung (wer auf eine Datei zugreifen darf), geht über den Bereich
Zugriffsschutz bei der Datenübertragung (Stichwort Verschlüsselung) und
mündet letztlich in den Schutz des Endsystems an sich. Mit dem explosionsartigen Wachstum des Internets (die, wie der Grafik zu
entnehmen ist, exponentiell steigt) nimmt auch die Häufigkeit der externen
Übergriffe zu: 1995 sind 24% der Unternehmen mit Internetanbindung Opfer
solcher Übergriffe geworden. [2] Mittlerweile sollte dieser Wert aufgrund des
technologischen Fortschritts weit höher liegen. Auch die Vielfalt der
Bedrohungen steigt stetig – Viren, Backdoor-Programme und Trojaner,
Hacker und Lauschangriffe sind an der Tagesordnung. Die Wissenschaften
zur Kryptografie und Netzwerk- bzw. Endsystemsicherheit sind jedoch
mittlerweile so weit gereift, dass zweckmäßige und schnell einsatzbereite
Anwendungen und Schutzmechanismen zum Erreichen von
Netzwerksicherheit zur Verfügung stehen.[3] Die stetige und noch ausbaufähige Entwicklung des E-Commerce macht
eine grundlegende Überlegung zum Thema Datenschutz unumgänglich,
werden hier doch alle relevanten Daten in rein elektronischer Form
eingegeben, versendet, empfangen und verarbeitet. Sensible Daten wie
Anschrift, Kreditkarten- oder Kontoinformationen und Kaufverhalten bedürfen
strengster Sicherheitsvorkehrungen. Der Gesetzgeber gibt im
Bundesdatenschutzgesetz [4] Richtlinien nicht nur für diesen Bereich des
elektronischen Datenverkehrs vor, die eine Auseinandersetzung mit dem
Thema Datenschutz unumgänglich machen. Das Gesetz unterscheidet
hierbei zwischen „automatisierten und nicht-automatisierten Dateien“ (vgl. §1
Abs. 3.1 BDSG).
[2] Vgl. Kyas, O. (Internet professionell), Thomson Publishing, 1996, S. 411.
[3] Vgl. Stallings, W. (Sicherheit im Internet), 2001, S. 11.
[4] Vgl. Bundesdatenschutzgesetz (BDSG), Quelle:
http://www.bfd.bund.de/information/info1/info125.htm, 02.01.03.
Inhaltsverzeichnis
1. EINLEITUNG
1.1 Stellenwert Sicherheit
1.1.1 Datenschutz – Bedeutung und Risiko
1.1.2 Gesetz und Notwendigkeit
2. TECHNISCHES UMFELD
2.1 Das Internet: Unendliche Weiten und unendliche Gefahren
2.2 Corporate Unity: Das Intranet
2.2.1 Hilfe, Spar- und Risikofaktor in einem
2.2.2 Beispiel: Lufthansa
2.3 E-Commerce
2.3.1 Der (digitale) Markt
2.3.2 Richtlinien nach der OECD
2.4 E-Payment : E-Geld und Geldpolitik
2.5 Verschlüsselungsmechanismen
2.5.1 Symmetrische und asymmetrische Verschlüsselung
2.5.2 Rivest-Shamir-Adleman (RSA)
2.5.3 3DES
2.5.4 Pretty Good Privacy (PGP)
3. GENERELLE GEFAHRENPOTENTIALE
3.1 Risiko Datenübertragung
3.1.1 SSL-Verschlüsselung & Zertifikate
3.1.2 Konzernweite Intranets mit VPN
3.2 Standortsicherheit
3.2.1 Die neue Vielfalt – Angriffskategorien und Verteidigungsmöglichkeiten
3.2.1.1 Einleitung
3.2.1.2 DoS-Attacke
3.2.1.3 Informationlecks – Tiefer ins Web
3.2.2 Kriegsverhindernde Präventivmethoden
3.2.2.1 Firewalls und Virenprogramme
3.2.2.2 Intrusion Detection Systeme (IDS)
3.2.2.3 Beispiel: Einsatz von Trojanern
4. FOCUS : ZAHLUNGSSYSTEME
4.1 Kein Standard in Sicht: Auf- und Niedergang von SET
4.2 Alternativen zur bargeldlosen Bezahlung
4.2.1 Bankeinzug & Nachnahme
4.2.2 Weit verbreitet, wenig genutzt: Die GeldKarte
4.2.3 Die klassische Variante: Kreditkarten
4.2.4 Handy-Hype mit Nutzen: Paybox
4.2.5 Online-Services: FirstGate click&buy
4.2.6 TeleCash Click&Pay
4.2.7 Wire Card
4.2.8 Postsparkasse Österreich
4.2.9 X-PressPay
4.3 Zahlungssysteme allgemein
4.4 Biometrische Authentifikation
4.4.1 Was sind Biometrische Systeme?
4.4.2 Bedeutung und Entwicklung
5. DER WEG ZUM SICHERHEITSKONZEPT
5.1 Wichtig IST die Planung
5.1.1 Netzwerkinfrastruktur
5.1.2 Intranet
5.1.3 „Du kannst doch nicht einfach...“
5.2 Wohin SOLL das führen...
5.2.1 Wieviel Sicherheit ist nötig?
5.2.2 Kampf der Bequemlichkeit
6. FAZIT
6.1 Knackpunkt Budget – guter Rat ist teuer
6.2 Relaunch dank Innovation: Die neue Armbanduhr
6.3 Weg in die Zukunft: Gibt es die absolute Sicherheit?
Zielsetzung & Themen
Die Arbeit untersucht die kritischen Sicherheitsaspekte bei der Nutzung von Intra- und Internetsystemen für kommerzielle Zwecke. Das zentrale Ziel ist es, die notwendigen technischen Schutzmaßnahmen und organisatorischen Rahmenbedingungen aufzuzeigen, um den wachsenden Bedrohungen im E-Commerce und Unternehmensumfeld zu begegnen.
- Sicherheitsarchitekturen für Intranets und E-Commerce
- Methoden der Datenverschlüsselung und Authentifikation
- Analyse gängiger Zahlungssysteme und deren Absicherung
- Biometrische Systeme als neue Authentifizierungskonzepte
- Management von internen Risiken und Sicherheitsplanung
Auszug aus dem Buch
2.5.1. Symmetrische und asymmetrische Verschlüsselung
Es gibt zwei grundsätzliche Methoden, eine Verschlüsselung vorzunehmen. Die eine Variante ist die im Englischen als secret-key-method bekannte Methode der symmetrischen Verschlüsselung. Hierbei haben beide kommunizierenden Parteien das gleiche Passwort, also einen gemeinsamen Schlüssel. Nur mit diesem Schlüssel können die Daten chiffriert und anschließend dekodiert werden. Diese Methode wird zum Beispiel vom bekannten DES-Algorithmus eingesetzt. Er wird beispielsweise unter Unix-Systemen zum Verschlüsseln von Userpasswörtern eingesetzt. Nachteil dieser Form der Verschlüsselung ist allerdings die steigende Anzahl von Schlüsseln bei unterschiedlichen Kommunikationsteilnehmern. Wenn Person A mit 5 Personen E-Mails austauscht, dann braucht Person A 5 Schlüssel, um an alle Nachrichten senden und empfangen zu können. Der Schlüsselaufwand ist hier also potenziell ansteigend.
Die Alternative zu der vorgestellten Methode ist die public-key-method, im Deutschen eher als asymmetrische Verschlüsselung bekannt. Hier wird zur Verschlüsselung ein privater Key eingesetzt, der nur jeweils einer Person (nämlich dem Eigentümer) bekannt ist. Die zu sendende Nachricht wird mit diesem privaten und einmaligen Schlüssel kodiert. Aber wie kann der Empfänger diese Nachricht nun entschlüsseln? Ein Teil des privaten Schlüssels wird mit dem öffentlich bekannten Schlüssel (dem public key) kodiert und der Nachricht zugefügt. Nun kann nur der Empfänger mit seiner Kombination aus dem öffentlichen und seinem privaten Schlüssel die Nachricht dekodieren. Sollte die Kommunikation abgehört werden, so kann der Angreifer mit der Nachricht nichts anfangen, da er den anderen Teil des private keys nicht besitzt. Eine manuelle Dechiffrierung würde Wochen in Anspruch nehmen. Dieses Verfahren ist sicherer, weil das Kodierungsprinzip es schwieriger macht. Dies geht allerdings auf Kosten der Performance, weil die Rechenoperationen viel aufwendiger sind als bei einer Methode mit einem Schlüssel.
Zusammenfassung der Kapitel
1. EINLEITUNG: Erläutert die steigende Bedeutung von IT-Sicherheit in Zeiten des technologischen Fortschritts und die gesetzlichen Notwendigkeiten für den Datenschutz.
2. TECHNISCHES UMFELD: Beschreibt die Infrastruktur des Internets, Intranets und E-Commerce sowie grundlegende Sicherheitsrisiken und kryptografische Verfahren.
3. GENERELLE GEFAHRENPOTENTIALE: Analysiert spezifische Risiken bei der Datenübertragung und Standortsicherheit, wie DoS-Attacken oder den Einsatz von Trojanern.
4. FOCUS : ZAHLUNGSSYSTEME: Untersucht verschiedene Online-Bezahlmethoden, deren Sicherheit und die Rolle biometrischer Authentifizierungssysteme.
5. DER WEG ZUM SICHERHEITSKONZEPT: Zeigt auf, wie eine systematische Planung von Netzwerkinfrastrukturen und der Umgang mit menschlichem Verhalten zu einem Sicherheitskonzept beitragen.
6. FAZIT: Zieht Bilanz über die Kosten und den Aufwand für Sicherheit und diskutiert zukünftige Entwicklungen im Bereich Innovation und absolute Sicherheit.
Schlüsselwörter
IT-Sicherheit, E-Commerce, Verschlüsselung, Intranet, Datenschutz, VPN, Firewall, Biometrie, RSA, DES, Passwortschutz, Risikomanagement, Netzwerksicherheit, Zertifikate, Trojaner.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit beleuchtet die sicherheitstechnischen Anforderungen und Herausforderungen, die durch die Nutzung von Internet- und Intranet-Technologien im kommerziellen Kontext entstehen.
Was sind die zentralen Themenfelder?
Die Themenfelder umfassen den technischen Aufbau digitaler Märkte, Sicherheitsrisiken bei der Datenübertragung, Methoden der Verschlüsselung, diverse E-Payment-Systeme sowie die Erstellung eines ganzheitlichen Sicherheitskonzepts für Unternehmen.
Was ist das primäre Ziel der Untersuchung?
Ziel ist es, einen Überblick über den aktuellen Stand der Sicherheitstechnik im E-Business zu geben und aufzuzeigen, wie Unternehmen sich gegen Bedrohungen von außen und innen schützen können.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einer fundierten Literaturanalyse technischer Grundlagen, der Untersuchung von Sicherheitsstandards (wie OECD-Richtlinien) und der Auswertung von Fallbeispielen aus der Praxis.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in die technische Umgebung, allgemeine Gefahrenpotenziale, spezifische Zahlungssysteme sowie strategische Ansätze zur Entwicklung von Sicherheitskonzepten.
Welche Schlüsselwörter charakterisieren die Arbeit?
Wichtige Begriffe sind IT-Sicherheit, E-Commerce, Verschlüsselung, VPN, Firewall, Biometrie, Datenschutz und Risikomanagement.
Warum ist die Lufthansa ein besonderes Fallbeispiel im Bereich Intranet?
Lufthansa wird als Beispiel angeführt, da sie durch die Vernetzung von Einkauf und Customer Relationship Management erhebliche Transaktionskosteneinsparungen erzielen konnte, was die unternehmerische Relevanz gesicherter Intranets verdeutlicht.
Inwiefern beeinflussen biometrische Systeme die soziale Privatsphäre?
Da biometrische Daten potenziell sensible Informationen über Gesundheitszustände oder Vorstrafen liefern könnten, steht ihr Einsatz in Bezug auf den Datenschutz und soziale Auswirkungen in der Kritik.
- Quote paper
- Bodo Brünger (Author), 2003, Sicherheit im kommerziellen Intra- und Extranet, Munich, GRIN Verlag, https://www.grin.com/document/14768
