Inhaltsverzeichnis 2

Inhaltsverzeichnis   

Inhaltsverzeichnis.........................................................................................................   2

1  Einleitung  3

2  Bedrohungen und Risiken im Internet.  3

2.1  Begriffserklärung.  4

2.2  Bedrohungsanalyse  5

2.2.1  Grundbedrohungen.  5

2.2.2  Natürliche Bedrohungen  6

2.2.3  Passive Bedrohungen.  6

2.2.4  Aktive Bedrohungen  7

2.3  Typen von Angreifern  8

2.4  Schwachstellenanalyse  9

2.4.1  Menschliche Schwachstellen.  9

2.4.2  Organisatorische Schwachstellen.  10

2.4.3  Technische Schwachstellen  10

2.5  Gefahrenanalyse  11

3  Maßnahmen.  12

3.1  Personelle Maßnahmen.  12

3.2  Organisatorische Maßnahmen  13

4  Technische Maßnahmen  14

4.1  Kryptographie  15

4.1.1  Symmetrische und asymmetrische Algorithmen.  15

4.1.2  Klassische Verschlüsselungsverfahren  16

4.1.3  DES  17

4.1.4  RSA  18

4.1.5  Hashfunktionen.  19

4.1.6  Zertifikate  20

5  Zusammenfassung  22

Literaturverzeichnis   23

1 Einleitung 3

1 Einleitung

In der heutigen Geschäftswelt müssen Unternehmen immer flexibler werden und für neue Marktmöglichkeiten bereit sein. Anders ist ein Überleben nicht möglich. Heute ist eine Internetseite und damit eine Vermarktung des Produktes, der Dienstleistung über das Netz so gut wie Standard bei den Firmen. Auch Klein- und Mittelständische Unternehmen müssen für den neuen Markt übers Internet offen sein und ihre Firmennetzwerke für die Internetverbindung rüsten.

Diese Arbeit soll zeigen welche Gefahren für ein Unternehmen entstehen können bzw. durch Bedrohungen / Schwachstellen bei der Verbindung des Firmennetzes mit dem Internet vorhanden sind.

Es wird gezeigt welche Bedrohungen grundsätzlich vorhanden sind, aber auch welche Bedrohungen durch Angreifer auf das Unternehmensnetz entstehen können. Die verschiedenen Typen von Angreifern werden kurz erläutert, um einen Einblick in deren Beweggründe zu bekommen. In Anschluss daran wird die Gefahrenanalyse dargestellt. Im zweiten Teil der Arbeit wird auf die Maßnahmen eingegangen, die ergriffen werden können/sollten, um das Risiko so gering wie möglich für das Unternehmen zu halten. Hier wird speziell auf die technischen Maßnahmen, insbesondere die der Kryptographie eingegangen. Die Unterschiede des symmetrischen und asymmetrischen Verschlüsselungsverfahrens mit je einem Beispiel werden näher erklärt.

Diese Arbeit soll nur einen Einblick geben, sie kann nicht eine vollständige Abhandlung sein. Unternehmen müssen mehr beachten, jedoch werden hier Kernaspekte bespro- chen, die ein Unternehmen berücksichtigen sollte.

2 Bedrohungen und Risiken im Internet 4

2 Bedrohungen und Risiken im Internet

Bedrohungen, Schwachstellen und die daraus resultierenden Risiken, die beim Anschluss ans Internet für ein Unternehmensnetzwerk entstehen können, kann man wie folgt in einem Schaubild darstellen.

2.1 Begriffserklärung

Internet:

„Das Internet ist eine sich selbst organisierende Ansammlung von verschiedenen Netzwerken und Computern in der ganzen Welt, welche Daten über ein gemeinsames Protokoll austauschen.“ 1

Damit der Empfang der Daten garantiert ist, erhalten die Daten eine Adresseninformation und jeder Rechner im Netz erhält eine eindeutige IP - Adresse. Somit wird eine eindeutige die Identifizierung gewährleistet. Bedrohung:

Jedes potentielle, negative Ereignis auf ein System, welches von außen kommt und zu einem Schaden führen könnte wird als Bedrohung gesehen. Es gibt folgende Grundbedrohungen für ein System der Informationstechnik:

- Verlust der Vertraulichkeit

- Verlust der Integrität

- Verlust der Verfügbarkeit

¹ Schulungsunterlagen, Siemens S.2

2 Bedrohungen und Risiken im Internet 5

- Verlust der Authentizität

- Verlust der Verbindlichkeit Risiko:

Das Produkt von Eintrittswahrscheinlichkeit eines unerwünschten Ereignisses in einem bestimmten Zeitraum und dem damit verbundenen potentiellen Schaden (=Auswirkung) ist das Risiko. 2

2.2 Bedrohungsanalyse

Bei der Bedrohungsanalyse will man das aktuelle Bedrohungspotential identifizieren. Es werden mögliche Bedrohungen und Angreifer ermittelt, die auftreten bzw. angreifen können. Bedrohungen werden in verschiedene Kategorien eingeteilt, diese werden im Folgenden näher erläutert.

2.2.1 Grundbedrohungen

- Verlust der Vertraulichkeit

Nur berechtigte Personen können und dürfen auf bestimmte Informationen / Daten oder Systeme zugreifen. Um die Vertraulichkeit zu wahren, dürfen die Personen, die nicht auf bestimmte Informationen zugreifen sollen, technisch gesehen keine Zugriffsrechte haben.

- Verlust der Integrität

Hier soll die Vollständigkeit sowie Unversehrtheit der genutzten Daten bzw. die korrekte Arbeitsweise der angeforderten Dienstleistungen gewährleitstet werden. Unbefugte dürfen nicht unbemerkt Daten verändern oder löschen. Auch soll kein Unbefugter unbemerkt die Identität eines Benutzers annehmen können.

- Verlust der Verfügbarkeit

„Die Verfügbarkeit eines Systems liegt vor, wenn einem Benutzer sowohl Daten als auch das ganze System zu einem bestimmten Zeitpunkt in ihrer vollen Funktionalität zur Verfügung stehen.“ 3

- Verlust der Authentizität

Es muss verifizierbar sein, ob eine behauptete Identität mit der tatsächlichen Identität übereinstimmt. Man befasst sich mit der Echtheit bzw. Glaubwürdigkeit von Kommunikationspartnern und Daten bzw. Informationen.

² Schulungsunterlagen, Siemens S.3

³ Schulungsunterlagen, Siemens S.4

2 Bedrohungen und Risiken im Internet 6

- Verlust der Verbindlichkeit

Wird als Eigenschaft eines Versprechens verstanden, der Schutz des Urheberrechts und die Integrität einer Information werden hier miteinander verbunden.

2.2.2 Natürliche Bedrohungen

Zu den natürlichen Bedrohungen gehören Brand, Erdbeben, Blitzschlag, Klimastörungen, Stromausfall, Elektrostatik, Bauschäden, Explosionen, Chemieunfälle, Sturm, Wasser, Datennetzausfälle, Störstrahlungen, Fahrzugunfälle, sowie Tiere.

2.2.3 Passive Bedrohungen

Die übertragenen Daten und der Betrieb eines Kommunikationssystems werden bei passiven Angriffen nicht verändert. Diese Angriffe werden bewusst und gezielt durchgeführt und dienen der unerlaubten Informationsbeschaffung. Da nicht befugte Personen hier an Informationen gelangen, handelt es sich um die Verletzung der Vertraulichkeit.

- Abhören von Daten

Der Angreifer gelangt in Besitz der übertragenen Daten und kann sie nun für seine Zwecke nutzten. Für solch einen Angriff benötigt man ein Sniffer -Programm und einen Computer mit „root“ - Privilegien. Beispiele für Sniffer - Programme sind ETHLOAD und NETWATCH. Die Programme laufen rein passiv ab. Eine Erkennung ist nur auf dem Rechner möglich, auf dem es läuft.

- Abhören von Teilnehmer - Identitäten

Hier möchte der Angreifer herausfinden welche Teilnehmer wann eine Datenverbindung miteinander aufbauen und Daten miteinander austauschen. Hierdurch kann auf die ausgetauschten Daten zurück geschlossen werden und auch auf das Verhalten der Benutzer.

- Verkehrsflussanalyse

Sobald Daten verschlüsselt übertragen werden, können sie nicht mehr so einfach abgehört werden. Jedoch kann sich der Angreifer über eine Verkehrsflussanalyse Angaben über die Kommunikation der Teilnehmer und auch Informationen beschaffen, die ihm bei der Entschlüsselung der übertragenen Daten behilflich sein können. Durch die Verkehrsflussanalyse kann der Angreifer Zeit, Größe, Häufig- keit und Richtung eines Datentransfers erfahren.