Seminar

SeminarSicherheit im Web

WS01/02 Sicherheit im Web Markus Döring

Markus Döring


Agenda Allgemeines

Datenschutz IT-Sicherheit

Internet Geschichte Funktionsweise Nutzungsmöglichkeiten Informationsbeschaffung Präsentationen E-Mail Online-Banking E-Commerce

Probleme bei Nutzung des Internet Computerkriminalität Datenspuren und Cookies Viren Trojanische Pferde Unterschrift und Bezahlung


Agenda Schutzmöglichkeiten

Technischer Schutz Firewall Kryptografie Digitale Signatur Persönlicher Schutz

Lösungen für das World Wide Web Sicherere Übertragung mit HTTP Secure Socket Layer (SSL)

Schlussbetrachtung


Allgemeines EDV ist heutzutage nicht mehr wegzudenken Datenabfrage auf Knopfdruck möglich Verknüpfbarkeit und Verwertbarkeit der Daten

erfordern neue Konzepte zum Schutz des Persönlich-keitsrechts

Def.: Datenschutz hat die Aufgabe, den Einzelnen davor zu schützen, dass durch den Umgang mit seinen personenbezogenen Daten sein Persönlich-keitsrecht beeinflusst wird

BDSG von 1990: „informationelle Selbstbestimmung“


Allgemeines IT-Sicherheit behandelt die technische Seite sowie die

Sicherung von Datenflüssen gegen Störungen und unbefugte Eingriffe Dritter

Datensicherung ist die Gesamtheit aller organisa-torischer und technischer Vorsorgemaßnahmen gegen Verlust, Fälschung und unberechtigten Zugriff auf-grund von Katastrophen, techn. Ursachen, menschl. Versagen oder mutwilligen Eingriffen

Datensicherheit ist der angestrebte Zustand, der durch all diese Maßnahmen erreicht werden soll, aber letztlich nicht vollkommen erreicht werden kann


Im direkten Vergleich mit dem Datenschutz lässt sich die Datensicherung schwer abgrenzen

In den meisten Betrieben wird täglich ein Back-up des Informationssystems gemacht und verschlossen

Der Verschluss dient der Datensicherung Sind auf dem Back-up auch personenbezogene

Daten, dient der Verschluss auch dem Datenschutz In den meisten Firmen ist die Datensicherheit wichtiger

als der Datenschutz Datenbestand soll schnell wiederherstellbar sein

Allgemeines


Internet 1983 bestand das Internet aus 500 vernetzten

Rechnern Nutzung nur zum wissenschaftl. Datenaustausch 1991 wurde das World Wide Web (WWW) entwickelt Dadurch wurde dieser Teilbereich des Internets der

Öffentlichkeit zugänglich gemacht Heute sind ca. 600-700 Mio. Computer weltweit dem

Internet angeschlossen Tendenz rasch steigend Datenverkehr verdoppelt sich ca. alle 100 Tage


Internet ist ein großes Netzwerk, in dem Tausende von Computern und kleinere Netzwerke miteinander verbunden sind

Datenübertragung über Telefon-/Standleitungen Fast alle Rechner benutzen das Internet Protocol (IP) Daten werden in einzelnen Datenpaketen per TCP an

das zentrale IP verschickt und erhalten Empfänger- und Absenderadresse. Datenpakete werden dann einer oder mehrerer Empfängeradressen zugestellt.

Internet


Internet Informationsbeschaffung

unbegrenzter Zugang zu Informationen z. B. in Bibliotheken stöbern, Zeitungsartikel suchen usw. Internettelefonie, Chatten

Präsentationen keine Firma kann es sich heute leisten nicht im Internet

präsent zu sein durch Homepage werden wichtige Infos mitgeteilt

E-Mail innerhalb des Internets kann man Post verschicken store und forward Dienst (eine Maschine leitet die Mail

solange weiter, bis sie ihr Ziel erreicht hat)


Internet Online-Banking

Immer mehr Internetbenutzer nutzen diese Möglichkeit Banken nutzen den HBCI Sicherheitsstandard Die Sicherheit beim Online-Banking hat sich zum Vorzeige-

objekt entwickelt Handel im Internet (E-Commerce)

E-Commerce gehört die Zukunft Fast jedes Produkt lässt per Internet bestellen Man bestellt bequem online, bezahlt per Kreditkarte oder

Bankeinzug Einkaufsstress entfällt


Probleme bei Nutzung des Internet Computerkriminalität

Chaos Computer Club deckte Sicherheitslücken und –risiken auf und bot Problemlösungen an

Viele Hacker bewegen sich in der Grauzone zwischen Legalität und Kriminalität

Gesetzgeber kann nicht so schnell handeln wie es nötig ist Frage: Ist das rasche Wachstum des Internets auf die

fehlende rechtliche Würdigung (bis ca. 1995) zurückzuführen?

Erst in den letzten Jahren wurde die elektr. DV in die Strafgesetze eingearbeitet

zu wenige staatenübergreifende Gesetze und Rechtsver-ordnungen


Probleme bei Nutzung des Internet Datenspuren und Cookies

jeder Internetbenutzer hinterlässt Spuren im Internet Log-Files werden von Experten aufgezeichnet und ausge-

wertet Identifizierung durch elektr. Seriennummer des Prozessors durch Besuchen von Internetseiten kann ein eindeutiges

Nutzerprofil erstellt werden Archivierungsfirmen archivieren regelmäßig das Internet Unternehmer legen Cookies auf Fremdrechner ab Cookies dienen eigentlich der Realisierung von Warenkörben


Probleme bei Nutzung des Internet Firmen sprechen von verbesserten Kundenservice Verbraucherschutz warnt vor gläsernen Surfer Kunde kann nicht selber über die Verwendung der

Daten entscheiden Mit Kundendaten wird viel Geld verdient Welche Daten werden übermittelt?

Stammdaten, die eine Person beim Provider identifizieren Verbindungsdaten, wer, wann mit wem wie viele Daten

ausgetauscht hat Inhaltsdaten, d. h. der Inhalt der eigentlichen Nachricht


Probleme bei Nutzung des Internet Generell ist der Provider dazu verpflichtet das „keine

oder so wenig personenbez. Daten wie möglich“ gespeichert werden

Aufbewahrung der Daten zur Archivierung ist nicht gestattet

Eine Löschung der Daten muss frühestmöglich oder unmittelbar erfolgen

Provider muss dem Nutzer eine anonyme oder unter einem Pseudonym geführte Inanspruchnahme der Dienste ermöglichen


Probleme bei Nutzung des Internet Die Erstellung eines Nutzerprofils ist nur unter der

Verwendung eines Pseudonyms möglich Jeder Benutzer muss seine Daten beim Provider

einsehen können Diese strengen Regelung gelten nur für Deutschland In den USA werden professionelle Log-File-Analysen

als Dienstleistung angeboten Globale Gesetzgebung im Internetdatenschutz wäre

wünschenswert, aber mittelfristig nicht zu realisieren


Probleme bei Nutzung des Internet Viren

Datenfragmente oder angehängte Codes schleichen sich über fremde Datenträger oder Netzwerke auf die Festplatte

Daten werden zerstört, manipuliert oder es passieren einfach nur verrückte Dinge

Viele Viren werden zu einen bestimmten Termin aktiviert Eine echte Gefahr geht nur von ca. 5% der Viren aus Jeden Monat erscheinen ca. 400 neue Viren Anti-Virus-Software bietet vorerst einzigen Schutz


Probleme bei Nutzung des Internet Trojanische Pferde (Trojaner)

Computerviren, die sich selber verbreiten und vermehren Angreifer kann bei jeder Onlinesitzung des Betroffenen

Passwörter mitlesen Manipulation von Daten und Vermehrung auch über E-Mail

möglich Trojaner sind meist in Programmen versteckt, die aus dem

Internet geladen wurden Beispiel: In Word-Dokument versteckt und wird per E-Mail

verschickt. Im System eingebrochen verschickt sich der Trojaner an 50 Adressen aus dem Adressbuch weiter


Probleme bei Nutzung des Internet Wie bei Viren sind nur ca. 5% der Trojaner gefährlich Virenprogrammierer wollen hauptsächlich die Schnelligkeit

der Vermehrung ihrer Trojaner testen Nachträgliche Schutzmaßnahmen gegen Trojaner bietet auch

hier nur die Anti-Viren-Software Unterschrift und Bezahlung

Jeder möchte den Nachweis haben, ob ein Schreiben echt, vollständig und auch tatsächlich vom Absender ist

Lösung bietet hier die digitale Unterschrift bzw. Signatur Keiner möchte seine Kreditkartennummer unverschlüsselt

senden Ziel ist den elektronischen Handel so sicher zu machen wie

das Online-Banking


Schutzmöglichkeiten - Firewall Wer Daten nicht preisgeben möchte oder darf ist auf

kostenintensive Soft- und Hardware angewiesen Datenverlust könnte ganze Unternehmen ruinieren Viele Unternehmen planen ihr internes Firmennetz an

das Internet zu koppeln, um neue Märkte zu er-schließen

Übergangspunkt zum Internet ist der Schwachpunkt In der Praxis haben sich zwei Systeme etabliert

Jeder Rechner wird einzeln gegen Angriffe von außen gesichert -> hoher Kostenfaktor


Schutzmöglichkeiten - Firewall Kostengünstigere Alternative ist die Einrichtung eines

Firewall-Rechners Dieser Rechner bildet die Schnittstelle zwischen Firmen- und

öffentlichen Netz Alle Sicherheitsmaßnahmen erstrecken sich auf diesen

Rechner

zwischengeschalteter Firewall-Rechner


Schutzmöglichkeiten - Firewall Eine Firewall beaufsichtigt sämtliche Datentransfers

zwischen dem sicheren LAN und dem Internet Schutzniveau wird vom LAN bestimmt Korrekte Administration beeinflusst stark die Sicherheit

und erfolgt daher meist von Anbieterfirmen Zwei Arbeitsweisen einer Firewall:

Paketfilterprinzip: Die Versandinformationen in den Daten-paketen werden untersucht. Die Firewall entscheidet, wie und ob das Datenpaket weitergeleitet werden soll. Der Filter selbst besitzt keine IP-Adresse, ist daher unsichtbar und kann nicht von außen angesprochen oder manipuliert werden


Schutzmöglichkeiten - Firewall Dual Homed Gateway: arbeitet mit mehreren Verbindungen.

Es besteht einerseits eine Verbindung mit dem internen LAN u. anderseits eine Verbindung mit einem öffentl. FTP/Server.Dieser DHG-Rechner ist als einziger aus dem Internet zu erreichen.

Dual Homed Gateway Prinzip


Schutzmöglichkeiten - Firewall Dieser Rechner speichert alle eingehenden Daten auf

der Applikationsebene und überprüft sie Verläuft die Prüfung positiv, so werden die Daten auf

die Netzwerkebene des Firmennetz weitergeleitet Ein Einbruch in dieses System ist relativ einfach Da aber alle Datenbewegungen protokolliert werden,

kann ein Einbruch sehr einfach und schnell erkannt werden und genauso einfach unterbunden werden

Der Erfolg der Firewall hängt stark von der dazuge-hörigen Administration ab


Schutzmöglichkeiten-Kryptographie Regierungen und Militärs nutzten schon immer

Kryptografie um ihre Daten zu schützen Aufschwung im privaten und kommerziellen Bereich größte Know-how besitzen die Militärs In den USA fielen Kryptomittel unter das Waffen-

exportgesetz Militärs verweigerten den Export von Kryptomitteln bis

September 1999 aus Angst vor organisierter Kriminalität


Schutzmöglichkeiten-Kryptographie Hauptaufgaben der Verschlüsselung

Die Nachricht wird geheimgehalten Die Nachricht kommt unverfälscht beim Empfänger an Der Absender kann ggf. identifiziert werden

Algorithmen wandeln Klartext in Chiffretext um Ziel ist es ein möglichst sicheren Algorithmus zu

schaffen, sodass ein Entschlüsselungsversuch zu teuer oder der zeitliche Aufwand zu hoch ist

Verschlüsselungen laufen im Hintergrund ab Programme generieren Schlüssel automatisch


Schutzmöglichkeiten-Kryptographie Symmetrisches Verfahren (auch Private-Key)

Zur Ver- und Entschlüsselung wird der gleiche Schlüssel benutzt

Ein Schlüssel wird festgelegt, die Nachricht damit ver-schlüsselt, versandt und mit dem gleichen Schlüssel entschlüsselt

Bekannteste Systeme sind DES und IDEA Problem ist die sichere Übermittlung und die Anzahl

der zu tauschenden Schlüssel Sicherheit: bei einer Schlüssellänge von 56Bit braucht

ein Rechner mit 1 Mio. Verschlüsselungsmöglich-keiten 2000 Jahre (bei 128Bit Jahre)1710


Schutzmöglichkeiten-Kryptographie Asymmetrisches Verfahren

Ein öffentlicher public-key und ein pers. Schlüssel secret-key Beziehung bzw. Ableitbarkeit der Schlüssel besteht nicht Öffentliche Schlüssel ist im Netz bekannt und wird häufig von

einer Zertifizierungsstelle verwaltet Persönlicher Schlüssel ist nur dem Benutzer bekannt

Der zu verschlüsselnde Text an den Benutzer x wird mit seinem öffentl. bekannten Schlüssel verschlüsselt und versandt (keine Rückcodierung möglich)

Benutzer x entschlüsselt Text mit seinem secret-key Empfängeradresse muss Text vorangestellt werden und

darf nicht mitverschlüsselt werden


Schutzmöglichkeiten-Kryptographie Bekanntestes Verschlüsselungsverfahren ist das RSA

(Rivest Shamir Adleman,1977, IBM) Asymmetrische Verfahren sind wesentlich komplexer

und dadurch erheblich langsamer In der Praxis werden oft Hybridmodelle benutzt Dabei wird der symmetr. Schlüssel durch ein

asymmetr. Verfahren verschlüsselt und verschickt Beide Parteien haben ein und denselben Schlüssel Beispiel für das hybride System ist PrettyGoodPrivacy PGP kann digitale Signaturen verwenden


Schutzmöglichkeiten-Kryptographie Steganographie (Geheimschrift)

Hierbei möchte man die Existenz einer Nachricht verbergen Benutzung durch „Photo-Cds“ Niederwertigstes Bit eines 24-Bit Bildpunktes wird genutzt Qualität wird nur minimal beeinträchtigt Auf einem Foto (2048x3072 Pixel) verschwinden 2,3 MB

Nachrichten Nachteil ist der große Überhang und die Leichtigkeit des

Entschlüsselns bei Entdeckung der Methode


Schutzmöglichkeiten-Kryptographie Digitale Signatur

Empfänger möchte sicher sein, dass das Dokument unverändert vom Absender eingetroffen ist und das dieser eindeutig identifiziert werden kann

Laut SigG ist eine digitale Unterschrift ein Siegel, welches mit Hilfe eines privaten Signaturschlüssels erzeugt wurde und mit einem dazugehörenden öffentl. Schlüssel, den Inhaber und die Echtheit der Daten erkennen lässt

Technisch werden asymmetrische Verfahren genutzt In der Praxis werden diese Verfahren durch Programme

vereinfacht Beim Homebanking zum Beispiel mit einer zertifizierten

Chipkarte


Lösungen für das WWW Anforderung an Sichere Übertragung mit HTTP

Signatur vermittelt dem Server Sicherheit über die Identität des Client

Signatur ist beim HTTP-Response des Servers an den Client nützlich, da der Client sicher sein kann, dass die Daten vom Originalserver stammen


Lösungen für das WWW Bei Nutzung eines zusätzlichen Proxy-Server darf

dieser Dokumente nicht in den Cache aufnehmen, bei denen der Originalserver eine Authentifizierung des Clients verlangt

Proxy-Server verfügt nicht über Autorisierungsinfor-mationen und –mechanismen des Originalservers

Nachteil: Nicht jeder Proxy verhält sich tatsächlich so Bei unchiffrierten Dokumenten: Die fälschlicherweise

gespeicherten Dokumente werden auch an Clients ausgeliefert, die auf dem Originalserver keine Zugriffsrechte besitzen


Lösungen für das WWW Bei chiffrierten Dokumenten sieht es anders aus Caching bringt dem zugriffsberechtigten Client bei

wiederholtem Zugriff keinen Vorteil Autorisierung muss stets der Originalserver durchführen Es schadet auch nichts, da Unbefugte das gespeicherte

vertrauliche Dokument nicht dechiffrieren können Client und Server benötigen eingebaute Security-

Funktionalität, um von kryptographischen Verfahren profitieren zu können

Für einen Proxy-Server ist dies nicht erforderlich (er reicht Requests und Responses unbesehen durch)


Lösungen für das WWW Bekanntestes und am weitesten verbreitestes krypto-

graphische Verfahren im WWW ist Secure Socket Layer (SSL) von Netscape Communications Corporation

Passender Server und Client wird auch angeboten Das Protokoll liegt offen Für nichtkommerzielle Anwendungen ist eine frei

verfügbare Implementierung erhältlich


Lösungen für das WWW SSL legt eine zusätzliche Schicht zur Anwendung hin

über die Socket-Ebene Gegenüber den wirklichen Sockets erscheint sie als

Anwendung Vorteil: SSL ist nicht allein auf HTTP als Übertra-

gungsprotokoll beschränkt. Darüber kann jedes be-liebige TCP-basierte höhere Protokoll gefahren werden


Lösungen für das WWW Die vorhandenen Anwendungen können nicht

automatisch von SSL profitieren Nötig sind spezielle SSL-Clients und –Server SSL bietet dem Client immer eine Authentifizierung

des Servers (innerhalb der SSL-Ebene) Bei SSL-Verbindung werden alle Daten verschlüsselt

und für Außenstehende unlesbar übertragen Integritätsprüfung gegen Verfälschung der Daten Die mit dieser Schicht aufgepeppten Internetprotokolle

laufen über andere Standardports ab (Port 443)


Persönlicher Schutz PC nicht unbeaufsichtigt lassen Beantworten Sie nicht alle Fragen, die beim Besuch

einer Internetseite gestellt werden Pflegen und Warten Sie Ihr System Übertragen Sie keine unverschlüsselten personen-

bezogenen Daten oder Kreditkartennummern Verschlüsseln Sie Ihre persönlichen Daten oder E-

Mails mit Programmen, wie z. B. PGP Öffnen Sie nur Ihnen bekannte Programme


Persönlicher Schutz Arbeiten Sie regelmäßig mit Virenscannern Diskussionsbeiträge in Newsgroups sollten nicht

archiviert werden lassen (Teilnehmerprofil) Deaktivieren Sie Optionen für Cookies Deaktivieren Sie nach Möglichkeit JavaScript und

ActiveX Lassen Sie sich anonymisieren (http://

www.anonymizer.com) Installieren Sie immer die neuesten Sicherheitpatches Wechseln Sie regelmäßig Ihre Passwörter

http://www.anonymizer.com/

http://www.anonymizer.com/


Schlussbetrachtung Es gibt keinen vollkommenden Datenschutz und keine

befriedigende Datensicherheit im Internet Trotz Hard- oder Softwareschutz besteht immer ein

Restrisiko Durch neuere Programme und schnellere Hardware

gelingt es Hackern und Spionen immer wieder Ver-schlüsselungen zu knacken

Jedes Sicherheitskonzept ist nur so gut wie der Anwender selbst

Systembetreuer sollten sich an bestehende Regeln halten


Schlussbetrachtung Das Risiko des Datenmissbrauchs ist wohl der Preis

für die unendlichen Weiten des Internets Kein Grund zur Panik Gemessen an der Anzahl der Internetnutzer kommt

ein Datenmissbrauch sehr selten vor

Vielen Dank für Ihre Aufmerksamkeit!

Seminar

Documents

Transcript of Seminar