Inhaltsverzeichnis

1  Einleitung  1

2  Einf uhrung in die IT-Sicherheit  3

2.1  Bedeutung von IT-Sicherheit f ur Unternehmen  3

2.2  Rechtliche Grundlagen  5

3  Allgemeine Bedrohungen aus dem Internet  7

3.1  Password Sniffering  7

3.2  IP Spoofing  7

3.3  Denial of Service (DoS)  8

3.4  Replay Angriff  8

3.5  IP Hijacking  9

3.6  Man-in-the-middle-Angriff  9

4  Grundlagen von virtuellen privaten Netzwerken  10

5  Sicherheitstechnologien bei der Benutzung von virtuellen privaten  

Netzwerken   12

5.1  Kryptologie  12

5.1.1  Grundlagen der Kryptographie  13

5.1.2  Symmetrische Verschl usselungsverfahren  15

5.1.3  Asymmetrische Verschl usselungsverfahren  17

5.2  Tunneling  18

6  Fazit und Ausblick  19

I

Abbildungsverzeichnis

1 IT-Sicherheitsrisiken und -investment

Quelle: Entnommen aus: Pohlmann (2003), S. 5. . . . . . . . . . . . . 4 2 Skizzierung eines VPN . . . . . . . . . . . . . . . . . . . . . . . . . . 11 3 Monoalphabetische Text-Substitutionschiffrierung . . . . . . . . . . . 13 4 Vertauschung der urspr¨ unglichen Positionen von Zeichen durch eine Spaltentransposition . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 5 Eine Runde des DES-Algorithmus . . . . . . . . . . . . . . . . . . . . 16

II

1 Einleitung

Noch vor einigen Jahren war es kaum vorstellbar, dass Unternehmen innerhalb weniger Sekunden Informationen ¨ uber Netzwerke austauschen bzw. ¨ ubertragen

k¨ onnen. Heute ist dieser rasche Informationsaustausch, der aufgrund einer gut ausgebauten Netzinfrastruktur m¨ oglich ist, nicht mehr zu entbehren, da er den Unternehmen Zeit spart, aber auch zu mehr Effektivit¨ at verhilft. In der Vergangenheit waren die Lokationen der Unternehmen h¨ aufig ¨ uber Standleitungen

miteinander verbunden, was zwar sicher, aber auch sehr kostenintensiv war. Eine weitere M¨ oglichkeit, die mittlerweile immer mehr an Bedeutung gewinnt, besteht darin, die Datenkommunikation ¨ uber ein ¨ offentliches Netz, etwa das Internet, zu erm¨ oglichen. Das Internet ist fl¨ achendeckend ausgebaut und ¨ uberall verf¨ ugbar. Die

bereits genannten Vorteile Zeitersparnis und Effektivit¨ at bleiben bestehen. Hinzu kommt, dass die Datenkommunikation ¨ uber das Internet wesentlich kosteng¨ unstiger ist, als ¨ uber Standleitungen. Dennoch gibt es auch Nachteile. Denn mit der Digitalisierung von Informationen und deren ¨ Ubertragung ¨ uber ein ¨ offentliches Netz

erh¨ oht sich auch die Gefahr des Missbrauchs der Daten. Da aber das Bed¨ urfnis nach IT-Sicherheit in den Unternehmen immer weiter w¨ achst, kann ein virtuelles privates Netzwerk (VPN) verwendet werden. Ein VPN benutzt das ¨ offentliche Netz durch die Verwendung verschiedener Technologien. Hierdurch werden die Sicherheitseigenschaften, die im echten privaten Netz durch Standleitungen realisiert werden, auch im ¨ offentlichen Netz aufrechterhalten.

Die vorliegende Arbeit umfasst 6 Kapitel. Im zweiten Kapitel wird zun¨ achst beschrieben, was unter IT-Sicherheit verstanden wird und warum das Bed¨ urfnis nach IT-Sicherheit in Unternehmen immer weiter w¨ achst. Weiterhin werden einige gesetzliche Grundlagen beleuchtet, die Unternehmen verpflichten, sich mit den Thema IT-Sicherheit auseinander zu setzen. Kapitel 3 besch¨ aftigt sich zun¨ achst mit dem unsicheren Netz, dem Internet. Der Fokus liegt dabei auf exemplarisch ausgew¨ ahlten Gefahren, die bei der Nutzung des Internet auftreten k¨ onnen. Damit die Daten aber sicher von A nach B gelangen und das, obwohl ein unsicheres Netz genutzt wird, kann ein VPN implementiert werden. Grundlegende Eigenschaften

1

von VPNs werden in Kapitel 4 erl¨ autert. Ein VPN nutzt verschiedene Technologien, Daten zu sch¨ utzen, damit eine sichere IT-Kommunikation ¨ uber ein unsicheres

Netz erfolgen kann. Zwei der sehr komplexen Technologien - Verschl¨ usselung und Tunneling - sind Bestandteil des f¨ unften Kapitels. Abschließend wird in Kapitel 6 ein Ausblick ¨ uber weitere Entwicklungen gegeben.

2

2 Einf¨ uhrung in die IT-Sicherheit

Der Begriff Sicherheit kann unter zwei Aspekten betrachtet werden: zum einen stellt Sicherheit ein Grundbed¨ urfnis des Menschen dar. Im Allgemeinen beschreibt schon Maslow das Bed¨ urfnis nach Sicherheit in seiner Bed¨ urfnispyramide auf der zweiten Ebene. ¹ Im Speziellen erh¨ ohen die zunehmende Abh¨ angigkeit von der Informationstechnologie (IT), die wachsende Verwundbarkeit und die Gefahr massiver wirtschaftlicher Sch¨ aden in Folge von IT-Risiken das Bed¨ urfnis nach IT-Sicherheit. Zum anderen ist IT-Sicherheit ein Zustand, der das Nicht-Vorhandensein von Sicherheitsl¨ ucken - also das Ausbleiben unbefugter Zutritte oder die Sch¨ adigung von IT-Systemen - beschreibt. Sicherheit ist also ein Zustand, der frei von Gefahren ist. ² Im Zusammenhang mit IT-Sicherheit werden oft die drei Begriffe ” Vertraulichkeit“, Verf¨ ugbarkeit“ und ” Integrit¨ at“ verwendet, die auch die Ziele der IT-Sicherheit

”

ausmachen. Der Begriff Vertraulichkeit besagt, dass vertrauliche Informationen vor unbefugten Personen gesch¨ utzt werden m¨ ussen. Dieser Schutz bezieht sich nicht nur auf sensible Daten, sondern beispielsweise auch auf Systemkonfigurationen. Daten d¨ urfen aber nicht so gesch¨ utzt sein, dass niemand mehr darauf zugreifen kann, denn Daten m¨ ussen dann verf¨ ugbar sein, wenn sie ben¨ otigt werden (Verf¨ ugbarkeit). Werden vorhandene Daten unerlaubt manipuliert, geht die Integrit¨ at verloren. Ziel sollte also sein, dass die Daten vollst¨ andig und unver¨ andert vorliegen. ³ Abh¨ angig von der Art der Angriffe gibt es viele technische M¨ oglichkeiten, diese Schutzziele zu realisieren.

2.1 Bedeutung von IT-Sicherheit f¨ ur Unternehmen

Die IT (Informationstechnologie) hat sich in den letzten Jahren immer weiterentwickelt. Auch deutsche Unternehmen haben sich dieser Entwicklung angepasst. Mit der zunehmenden Nutzung des Internet und der Vernetzung von Niederlassungen untereinander haben sich auch die Bedrohungsformen ge¨ andert. W¨ ahrend noch vor

¹ Vgl. Zimbardo / Gerrig (1999), S. 324.

² Vgl. Sonntag (2003), S. 19.

³ Vgl. http://www.bsi.de

3