Sichere IT-Kommunikation über unsichere Netze mithilfe von virtuellen privaten Netzwerken

Inhaltsverzeichnis

1 Einleitung

2 Einführung in die IT-Sicherheit
2.1 Bedeutung von IT-Sicherheit für Unternehmen
2.2 Rechtliche Grundlagen

3 Allgemeine Bedrohungen aus dem Internet
3.1 Password Sniffering
3.2 IP Spoofing
3.3 Denial of Service (DoS)
3.4 Replay Angriff
3.5 IP Hijacking
3.6 Man-in-the-middle-Angriff

4 Grundlagen von virtuellen privaten Netzwerken

5 Sicherheitstechnologien bei der Benutzung von virtuellen privaten Netzwerken
5.1 Kryptologie
5.1.1 Grundlagen der Kryptographie
5.1.2 Symmetrische Verschlüsselungsverfahren
5.1.3 Asymmetrische Verschlüsselungsverfahren
5.2 Tunneling

6 Fazit und Ausblick

Abbildungsverzeichnis

1 IT-Sicherheitsrisiken und -investment Quelle: Entnommen aus: Pohlmann (2003), S. 5

2 Skizzierung eines VPN

3 Monoalphabetische Text-Substitutionschiffrierung

4 Vertauschung der ursprünglichen Positionen von Zeichen durch eine Spaltentransposition

5 Eine Runde des DES-Algorithmus

1 Einleitung

Noch vor einigen Jahren war es kaum vorstellbar, dass Unternehmen innerhalb weniger Sekunden Informationen über Netzwerke austauschen bzw. übertragen können. Heute ist dieser rasche Informationsaustausch, der aufgrund einer gut ausgebauten Netzinfrastruktur möglich ist, nicht mehr zu entbehren, da er den Unternehmen Zeit spart, aber auch zu mehr Effektivität verhilft. In der Ver- gangenheit waren die Lokationen der Unternehmen häufig über Standleitungen miteinander verbunden, was zwar sicher, aber auch sehr kostenintensiv war. Eine weitere Möglichkeit, die mittlerweile immer mehr an Bedeutung gewinnt, besteht darin, die Datenkommunikation über ein öffentliches Netz, etwa das Internet, zu ermöglichen. Das Internet ist flächendeckend ausgebaut und überall verfügbar. Die bereits genannten Vorteile Zeitersparnis und Effektivität bleiben bestehen. Hinzu kommt, dass die Datenkommunikation über das Internet wesentlich kostengünstiger ist, als über Standleitungen. Dennoch gibt es auch Nachteile. Denn mit der Digitalisierung von Informationen und deren Übertragung über ein öffentliches Netz erhöht sich auch die Gefahr des Missbrauchs der Daten. Da aber das Bedürfnis nach IT-Sicherheit in den Unternehmen immer weiter wächst, kann ein virtuelles privates Netzwerk (VPN) verwendet werden. Ein VPN benutzt das öffentliche Netz durch die Verwendung verschiedener Technologien. Hierdurch werden die Sicher- heitseigenschaften, die im echten privaten Netz durch Standleitungen realisiert werden, auch im öffentlichen Netz aufrechterhalten.

Die vorliegende Arbeit umfasst 6 Kapitel. Im zweiten Kapitel wird zunächst beschrieben, was unter IT-Sicherheit verstanden wird und warum das Bedürfnis nach IT-Sicherheit in Unternehmen immer weiter wächst. Weiterhin werden einige gesetzliche Grundlagen beleuchtet, die Unternehmen verpflichten, sich mit den Thema IT-Sicherheit auseinander zu setzen. Kapitel 3 beschäftigt sich zunächst mit dem unsicheren Netz, dem Internet. Der Fokus liegt dabei auf exemplarisch ausgewählten Gefahren, die bei der Nutzung des Internet auftreten können. Damit die Daten aber sicher von A nach B gelangen und das, obwohl ein unsicheres Netz genutzt wird, kann ein VPN implementiert werden. Grundlegende Eigenschaften

von VPNs werden in Kapitel 4 erläutert. Ein VPN nutzt verschiedene Technologien, Daten zu schützen, damit eine sichere IT-Kommunikation über ein unsicheres Netz erfolgen kann. Zwei der sehr komplexen Technologien - Verschlüsselung und Tunneling - sind Bestandteil des fünften Kapitels. Abschließend wird in Kapitel 6 ein Ausblick über weitere Entwicklungen gegeben.

2 Einführung in die IT-Sicherheit

Der Begriff Sicherheit kann unter zwei Aspekten betrachtet werden: zum einen stellt Sicherheit ein Grundbedürfnis des Menschen dar. Im Allgemeinen beschreibt schon Maslow das Bedürfnis nach Sicherheit in seiner Bedürfnispyramide auf der zwei- ten Ebene.¹ Im Speziellen erhöhen die zunehmende Abhängigkeit von der Infor- mationstechnologie (IT), die wachsende Verwundbarkeit und die Gefahr massiver wirtschaftlicher Schäden in Folge von IT-Risiken das Bedürfnis nach IT-Sicherheit. Zum anderen ist IT-Sicherheit ein Zustand, der das Nicht-Vorhandensein von Si- cherheitslücken - also das Ausbleiben unbefugter Zutritte oder die Schädigung von IT-Systemen - beschreibt. Sicherheit ist also ein Zustand, der frei von Gefahren ist.²

Im Zusammenhang mit IT-Sicherheit werden oft die drei Begriffe

”Vertraulichkeit“,

”Verfügbarkeit“und ”Integrität“verwendet,dieauchdieZielederIT-Sicherheit ausmachen. Der Begriff Vertraulichkeit besagt, dass vertrauliche Informationen vor unbefugten Personen geschützt werden müssen. Dieser Schutz bezieht sich nicht nur auf sensible Daten, sondern beispielsweise auch auf Systemkonfigurationen. Da- ten dürfen aber nicht so geschützt sein, dass niemand mehr darauf zugreifen kann, denn Daten müssen dann verfügbar sein, wenn sie benötigt werden (Verfügbarkeit). Werden vorhandene Daten unerlaubt manipuliert, geht die Integrität verloren. Ziel sollte also sein, dass die Daten vollständig und unverändert vorliegen.³ Abhängig von der Art der Angriffe gibt es viele technische Möglichkeiten, diese Schutzziele zu realisieren.

2.1 Bedeutung von IT-Sicherheit für Unternehmen

Die IT (Informationstechnologie) hat sich in den letzten Jahren immer weiterent- wickelt. Auch deutsche Unternehmen haben sich dieser Entwicklung angepasst. Mit der zunehmenden Nutzung des Internet und der Vernetzung von Niederlassungen untereinander haben sich auch die Bedrohungsformen geändert. Während noch vor einigen Jahren Computerviren zum überwiegenden Teil über den Austausch von Dis- ketten in Umlauf gebracht wurden, geht dies heutzutage wesentlich schneller über das Internet. Dies kann dazu führen, dass ganze Unternehmen innerhalb kürzester Zeit nicht mehr ihrer Arbeit nachkommen können, denn die IT ist ein wesentlicher Bestandteil vieler Unternehmen. Darüber hinaus wächst das Bedürfnis nach IT- Sicherheit, weil Unternehmen gesetzlich dazu verpflichtet sind, geeignete Maßnah- men umzusetzen. Allerdings ist die Umsetzung sicherheitstechnischer Maßnahmen mit nicht zu unterschätzenden Kosten verbunden. So sind Investitionen zu tätigen, die sich erst im Laufe der Zeit amortisieren, was bedeutet, dass die Anschaffungs- kosten durch den mit der Investition erwirtschafteten Ertrag gedeckt werden. Je schneller diese Investitionen gedeckt sind, desto früher kann ein Profit generiert werden. In diesem Zusammenhang wird häufig auch von Return on Investments (ROI) gesprochen. Die Risikominimierung steigt nicht linear mit der Investition in IT-Sicherheitssysteme, was die folgende Abbildung verdeutlichen soll:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: IT-Sicherheitsrisiken und -investment

Quelle: Entnommen aus: Pohlmann (2003), S. 5.

In Abbildung 1 ist erkennbar, dass im ersten Schritt die reduzierten Risiken we- sentlich höher sind, als die Investitionen, während bei steigenden Investitionen die Risikominimierung immer weiter abnimmt. Zusammenfassend hierzu lässt sich al- so sagen, dass das Pareto-Prinzip (80/20-Regel) auch für die IT-Sicherheit gilt.

Werden 20% der möglichen IT-Sicherheitsmaßnahmen richtig eingesetzt, kann 80% Schutz vor Bedrohungen erreicht werden. Darüber hinaus ist es nicht mehr wirtschaftlich, einen gewissen Grundschutz durch zusätzliche Investitionen zu erweitern. Dennoch kann es Gründe geben, diese zusätzlichen Investitionen in IT-Sicherheit durchzuführen, wie z.B. Angst oder gesetzliche Vorgaben.⁴

2.2 Rechtliche Grundlagen

Nachdem erläutert wurde, was IT-Sicherheit ist und welche Bedeutung dies für Unternehmen hat, werden im Folgenden auszugsweise einige rechtliche Grundlagen vorgestellt, die IT-Sicherheit in Unternehmen unabdingbar machen.

KontraG

KontraG steht für

”GesetzzurKontrolleundTransparenzimUnternehmensbe reich“. Mit diesem Gesetz wird ein Unternehmen verpflichtet, ein effizientes Risiko management konzernweit einzuführen, was bedeutet, dass Entwicklungen, die den Fortbestand einer Gesellschaft gefährden, frühzeitig erkannt und durch entsprechen- de Gegenmaßnahmen reguliert werden müssen. Für die Informationstechnologie be- deutet dies, dass Daten vor externen Angriffen (z.B. Viren, Würmern, etc.) und auch internen Attacken (z.B. Nichteinhalten von Betriebsgeheimnissen) zu schützen sind. Vorstände von Aktiengesellschaften sind beispielsweise nach § 93 Absatz 2 AktG im Falle der Verletzung ihrer Pflichten gegenüber der Aktiengesellschaft persönlich zum Schadensersatz verpflichtet:

Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner ver- pflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissen- haften Geschäftsleiters angewandt haben, so trifft sie die Beweislast.

Verschärft wird diese Regelung dadurch, dass die Vorstandsmitglieder im Zweifel beweisen müssen, dass sie alle Maßnahmen ergriffen haben, um Schäden zu vermei- den.

Basel II

Immer mehr an Bedeutung gewinnt auch die EU-Eigenkapitalrichtlinie des Baseler Ausschusses für Bankenaufsicht (Basel II) zur Eigenkapitalforderung, die ab 2007 Bestandteil des deutschen Rechts wird. Basel II verlangt von den Banken ein stren- geres Risikomanagement bei der Vergabe von Krediten. Unternehmen, die einen Kredit benötigen, müssen zukünftig nicht nur belegen, dass die Finanzkraft und die wirtschaftliche Zukunft ihres Unternehmens auf solidem Fundament stehen, son- dern sie müssen zusätzlich auch die Gewährleistung von IT-Sicherheit nachweisen. Werden Kriterien bei der Gewährleistung von IT-Sicherheit nicht erfüllt, erhält das Unternehmen ein schlechtes Ranking und zahlt in Zukunft höhere Zinsen. Hat das Unternehmen unmittelbar mit IT zu tun und werden Sicherheitsmaßnahmen nicht erfüllt, können liquide Mittel sogar vollständig abgelehnt werden.

Bundesdatenschutzgesetz (BSDG)

Dass Unternehmen zur Einhaltung von IT-Sicherheit verpflichtet sind, ist bereits in den vorherigen Kapiteln erwähnt worden. Ein weiterer Hinweis findet sich in §9 BSDG:

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag per- sonenbezogene Daten erheben, verarbeiten oder nutzen, haben die tech- nischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesonde- re die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

In der Anlage zu diesem Gesetz werden explizit Maßnahmen erläutert, die den Schutz personenbezogener Daten gewährleisten sollen. Nennenswert sind hier Kontrollmaß- nahmen bei Zutritt, Zugang, Zugriff, Weitergabe, Eingabe und Verfügbarkeit der Daten.

[...]

¹Vgl. Zimbardo / Gerrig (1999), S. 324.

²Vgl. Sonntag (2003), S. 19.

³Vgl. http://www.bsi.de

⁴Vgl. Pohlmann (2003), S. 4-5.