Seminar
description
Transcript of Seminar
SeminarSicherheit im Web
WS01/02 Sicherheit im Web Markus Döring
Markus Döring
WS01/02 Sicherheit im Web Markus Döring
Agenda Allgemeines
Datenschutz IT-Sicherheit
Internet Geschichte Funktionsweise Nutzungsmöglichkeiten Informationsbeschaffung Präsentationen E-Mail Online-Banking E-Commerce
Probleme bei Nutzung des Internet Computerkriminalität Datenspuren und Cookies Viren Trojanische Pferde Unterschrift und Bezahlung
WS01/02 Sicherheit im Web Markus Döring
Agenda Schutzmöglichkeiten
Technischer Schutz Firewall Kryptografie Digitale Signatur Persönlicher Schutz
Lösungen für das World Wide Web Sicherere Übertragung mit HTTP Secure Socket Layer (SSL)
Schlussbetrachtung
WS01/02 Sicherheit im Web Markus Döring
Allgemeines EDV ist heutzutage nicht mehr wegzudenken Datenabfrage auf Knopfdruck möglich Verknüpfbarkeit und Verwertbarkeit der Daten
erfordern neue Konzepte zum Schutz des Persönlich-keitsrechts
Def.: Datenschutz hat die Aufgabe, den Einzelnen davor zu schützen, dass durch den Umgang mit seinen personenbezogenen Daten sein Persönlich-keitsrecht beeinflusst wird
BDSG von 1990: „informationelle Selbstbestimmung“
WS01/02 Sicherheit im Web Markus Döring
Allgemeines IT-Sicherheit behandelt die technische Seite sowie die
Sicherung von Datenflüssen gegen Störungen und unbefugte Eingriffe Dritter
Datensicherung ist die Gesamtheit aller organisa-torischer und technischer Vorsorgemaßnahmen gegen Verlust, Fälschung und unberechtigten Zugriff auf-grund von Katastrophen, techn. Ursachen, menschl. Versagen oder mutwilligen Eingriffen
Datensicherheit ist der angestrebte Zustand, der durch all diese Maßnahmen erreicht werden soll, aber letztlich nicht vollkommen erreicht werden kann
WS01/02 Sicherheit im Web Markus Döring
Im direkten Vergleich mit dem Datenschutz lässt sich die Datensicherung schwer abgrenzen
In den meisten Betrieben wird täglich ein Back-up des Informationssystems gemacht und verschlossen
Der Verschluss dient der Datensicherung Sind auf dem Back-up auch personenbezogene
Daten, dient der Verschluss auch dem Datenschutz In den meisten Firmen ist die Datensicherheit wichtiger
als der Datenschutz Datenbestand soll schnell wiederherstellbar sein
Allgemeines
WS01/02 Sicherheit im Web Markus Döring
Internet 1983 bestand das Internet aus 500 vernetzten
Rechnern Nutzung nur zum wissenschaftl. Datenaustausch 1991 wurde das World Wide Web (WWW) entwickelt Dadurch wurde dieser Teilbereich des Internets der
Öffentlichkeit zugänglich gemacht Heute sind ca. 600-700 Mio. Computer weltweit dem
Internet angeschlossen Tendenz rasch steigend Datenverkehr verdoppelt sich ca. alle 100 Tage
WS01/02 Sicherheit im Web Markus Döring
Internet ist ein großes Netzwerk, in dem Tausende von Computern und kleinere Netzwerke miteinander verbunden sind
Datenübertragung über Telefon-/Standleitungen Fast alle Rechner benutzen das Internet Protocol (IP) Daten werden in einzelnen Datenpaketen per TCP an
das zentrale IP verschickt und erhalten Empfänger- und Absenderadresse. Datenpakete werden dann einer oder mehrerer Empfängeradressen zugestellt.
Internet
WS01/02 Sicherheit im Web Markus Döring
Internet Informationsbeschaffung
unbegrenzter Zugang zu Informationen z. B. in Bibliotheken stöbern, Zeitungsartikel suchen usw. Internettelefonie, Chatten
Präsentationen keine Firma kann es sich heute leisten nicht im Internet
präsent zu sein durch Homepage werden wichtige Infos mitgeteilt
E-Mail innerhalb des Internets kann man Post verschicken store und forward Dienst (eine Maschine leitet die Mail
solange weiter, bis sie ihr Ziel erreicht hat)
WS01/02 Sicherheit im Web Markus Döring
Internet Online-Banking
Immer mehr Internetbenutzer nutzen diese Möglichkeit Banken nutzen den HBCI Sicherheitsstandard Die Sicherheit beim Online-Banking hat sich zum Vorzeige-
objekt entwickelt Handel im Internet (E-Commerce)
E-Commerce gehört die Zukunft Fast jedes Produkt lässt per Internet bestellen Man bestellt bequem online, bezahlt per Kreditkarte oder
Bankeinzug Einkaufsstress entfällt
WS01/02 Sicherheit im Web Markus Döring
Probleme bei Nutzung des Internet Computerkriminalität
Chaos Computer Club deckte Sicherheitslücken und –risiken auf und bot Problemlösungen an
Viele Hacker bewegen sich in der Grauzone zwischen Legalität und Kriminalität
Gesetzgeber kann nicht so schnell handeln wie es nötig ist Frage: Ist das rasche Wachstum des Internets auf die
fehlende rechtliche Würdigung (bis ca. 1995) zurückzuführen?
Erst in den letzten Jahren wurde die elektr. DV in die Strafgesetze eingearbeitet
zu wenige staatenübergreifende Gesetze und Rechtsver-ordnungen
WS01/02 Sicherheit im Web Markus Döring
Probleme bei Nutzung des Internet Datenspuren und Cookies
jeder Internetbenutzer hinterlässt Spuren im Internet Log-Files werden von Experten aufgezeichnet und ausge-
wertet Identifizierung durch elektr. Seriennummer des Prozessors durch Besuchen von Internetseiten kann ein eindeutiges
Nutzerprofil erstellt werden Archivierungsfirmen archivieren regelmäßig das Internet Unternehmer legen Cookies auf Fremdrechner ab Cookies dienen eigentlich der Realisierung von Warenkörben
WS01/02 Sicherheit im Web Markus Döring
Probleme bei Nutzung des Internet Firmen sprechen von verbesserten Kundenservice Verbraucherschutz warnt vor gläsernen Surfer Kunde kann nicht selber über die Verwendung der
Daten entscheiden Mit Kundendaten wird viel Geld verdient Welche Daten werden übermittelt?
Stammdaten, die eine Person beim Provider identifizieren Verbindungsdaten, wer, wann mit wem wie viele Daten
ausgetauscht hat Inhaltsdaten, d. h. der Inhalt der eigentlichen Nachricht
WS01/02 Sicherheit im Web Markus Döring
Probleme bei Nutzung des Internet Generell ist der Provider dazu verpflichtet das „keine
oder so wenig personenbez. Daten wie möglich“ gespeichert werden
Aufbewahrung der Daten zur Archivierung ist nicht gestattet
Eine Löschung der Daten muss frühestmöglich oder unmittelbar erfolgen
Provider muss dem Nutzer eine anonyme oder unter einem Pseudonym geführte Inanspruchnahme der Dienste ermöglichen
WS01/02 Sicherheit im Web Markus Döring
Probleme bei Nutzung des Internet Die Erstellung eines Nutzerprofils ist nur unter der
Verwendung eines Pseudonyms möglich Jeder Benutzer muss seine Daten beim Provider
einsehen können Diese strengen Regelung gelten nur für Deutschland In den USA werden professionelle Log-File-Analysen
als Dienstleistung angeboten Globale Gesetzgebung im Internetdatenschutz wäre
wünschenswert, aber mittelfristig nicht zu realisieren
WS01/02 Sicherheit im Web Markus Döring
Probleme bei Nutzung des Internet Viren
Datenfragmente oder angehängte Codes schleichen sich über fremde Datenträger oder Netzwerke auf die Festplatte
Daten werden zerstört, manipuliert oder es passieren einfach nur verrückte Dinge
Viele Viren werden zu einen bestimmten Termin aktiviert Eine echte Gefahr geht nur von ca. 5% der Viren aus Jeden Monat erscheinen ca. 400 neue Viren Anti-Virus-Software bietet vorerst einzigen Schutz
WS01/02 Sicherheit im Web Markus Döring
Probleme bei Nutzung des Internet Trojanische Pferde (Trojaner)
Computerviren, die sich selber verbreiten und vermehren Angreifer kann bei jeder Onlinesitzung des Betroffenen
Passwörter mitlesen Manipulation von Daten und Vermehrung auch über E-Mail
möglich Trojaner sind meist in Programmen versteckt, die aus dem
Internet geladen wurden Beispiel: In Word-Dokument versteckt und wird per E-Mail
verschickt. Im System eingebrochen verschickt sich der Trojaner an 50 Adressen aus dem Adressbuch weiter
WS01/02 Sicherheit im Web Markus Döring
Probleme bei Nutzung des Internet Wie bei Viren sind nur ca. 5% der Trojaner gefährlich Virenprogrammierer wollen hauptsächlich die Schnelligkeit
der Vermehrung ihrer Trojaner testen Nachträgliche Schutzmaßnahmen gegen Trojaner bietet auch
hier nur die Anti-Viren-Software Unterschrift und Bezahlung
Jeder möchte den Nachweis haben, ob ein Schreiben echt, vollständig und auch tatsächlich vom Absender ist
Lösung bietet hier die digitale Unterschrift bzw. Signatur Keiner möchte seine Kreditkartennummer unverschlüsselt
senden Ziel ist den elektronischen Handel so sicher zu machen wie
das Online-Banking
WS01/02 Sicherheit im Web Markus Döring
Schutzmöglichkeiten - Firewall Wer Daten nicht preisgeben möchte oder darf ist auf
kostenintensive Soft- und Hardware angewiesen Datenverlust könnte ganze Unternehmen ruinieren Viele Unternehmen planen ihr internes Firmennetz an
das Internet zu koppeln, um neue Märkte zu er-schließen
Übergangspunkt zum Internet ist der Schwachpunkt In der Praxis haben sich zwei Systeme etabliert
Jeder Rechner wird einzeln gegen Angriffe von außen gesichert -> hoher Kostenfaktor
WS01/02 Sicherheit im Web Markus Döring
Schutzmöglichkeiten - Firewall Kostengünstigere Alternative ist die Einrichtung eines
Firewall-Rechners Dieser Rechner bildet die Schnittstelle zwischen Firmen- und
öffentlichen Netz Alle Sicherheitsmaßnahmen erstrecken sich auf diesen
Rechner
zwischengeschalteter Firewall-Rechner
WS01/02 Sicherheit im Web Markus Döring
Schutzmöglichkeiten - Firewall Eine Firewall beaufsichtigt sämtliche Datentransfers
zwischen dem sicheren LAN und dem Internet Schutzniveau wird vom LAN bestimmt Korrekte Administration beeinflusst stark die Sicherheit
und erfolgt daher meist von Anbieterfirmen Zwei Arbeitsweisen einer Firewall:
Paketfilterprinzip: Die Versandinformationen in den Daten-paketen werden untersucht. Die Firewall entscheidet, wie und ob das Datenpaket weitergeleitet werden soll. Der Filter selbst besitzt keine IP-Adresse, ist daher unsichtbar und kann nicht von außen angesprochen oder manipuliert werden
WS01/02 Sicherheit im Web Markus Döring
Schutzmöglichkeiten - Firewall Dual Homed Gateway: arbeitet mit mehreren Verbindungen.
Es besteht einerseits eine Verbindung mit dem internen LAN u. anderseits eine Verbindung mit einem öffentl. FTP/Server.Dieser DHG-Rechner ist als einziger aus dem Internet zu erreichen.
Dual Homed Gateway Prinzip
WS01/02 Sicherheit im Web Markus Döring
Schutzmöglichkeiten - Firewall Dieser Rechner speichert alle eingehenden Daten auf
der Applikationsebene und überprüft sie Verläuft die Prüfung positiv, so werden die Daten auf
die Netzwerkebene des Firmennetz weitergeleitet Ein Einbruch in dieses System ist relativ einfach Da aber alle Datenbewegungen protokolliert werden,
kann ein Einbruch sehr einfach und schnell erkannt werden und genauso einfach unterbunden werden
Der Erfolg der Firewall hängt stark von der dazuge-hörigen Administration ab
WS01/02 Sicherheit im Web Markus Döring
Schutzmöglichkeiten-Kryptographie Regierungen und Militärs nutzten schon immer
Kryptografie um ihre Daten zu schützen Aufschwung im privaten und kommerziellen Bereich größte Know-how besitzen die Militärs In den USA fielen Kryptomittel unter das Waffen-
exportgesetz Militärs verweigerten den Export von Kryptomitteln bis
September 1999 aus Angst vor organisierter Kriminalität
WS01/02 Sicherheit im Web Markus Döring
Schutzmöglichkeiten-Kryptographie Hauptaufgaben der Verschlüsselung
Die Nachricht wird geheimgehalten Die Nachricht kommt unverfälscht beim Empfänger an Der Absender kann ggf. identifiziert werden
Algorithmen wandeln Klartext in Chiffretext um Ziel ist es ein möglichst sicheren Algorithmus zu
schaffen, sodass ein Entschlüsselungsversuch zu teuer oder der zeitliche Aufwand zu hoch ist
Verschlüsselungen laufen im Hintergrund ab Programme generieren Schlüssel automatisch
WS01/02 Sicherheit im Web Markus Döring
Schutzmöglichkeiten-Kryptographie Symmetrisches Verfahren (auch Private-Key)
Zur Ver- und Entschlüsselung wird der gleiche Schlüssel benutzt
Ein Schlüssel wird festgelegt, die Nachricht damit ver-schlüsselt, versandt und mit dem gleichen Schlüssel entschlüsselt
Bekannteste Systeme sind DES und IDEA Problem ist die sichere Übermittlung und die Anzahl
der zu tauschenden Schlüssel Sicherheit: bei einer Schlüssellänge von 56Bit braucht
ein Rechner mit 1 Mio. Verschlüsselungsmöglich-keiten 2000 Jahre (bei 128Bit Jahre)1710
WS01/02 Sicherheit im Web Markus Döring
Schutzmöglichkeiten-Kryptographie Asymmetrisches Verfahren
Ein öffentlicher public-key und ein pers. Schlüssel secret-key Beziehung bzw. Ableitbarkeit der Schlüssel besteht nicht Öffentliche Schlüssel ist im Netz bekannt und wird häufig von
einer Zertifizierungsstelle verwaltet Persönlicher Schlüssel ist nur dem Benutzer bekannt
Der zu verschlüsselnde Text an den Benutzer x wird mit seinem öffentl. bekannten Schlüssel verschlüsselt und versandt (keine Rückcodierung möglich)
Benutzer x entschlüsselt Text mit seinem secret-key Empfängeradresse muss Text vorangestellt werden und
darf nicht mitverschlüsselt werden
WS01/02 Sicherheit im Web Markus Döring
Schutzmöglichkeiten-Kryptographie Bekanntestes Verschlüsselungsverfahren ist das RSA
(Rivest Shamir Adleman,1977, IBM) Asymmetrische Verfahren sind wesentlich komplexer
und dadurch erheblich langsamer In der Praxis werden oft Hybridmodelle benutzt Dabei wird der symmetr. Schlüssel durch ein
asymmetr. Verfahren verschlüsselt und verschickt Beide Parteien haben ein und denselben Schlüssel Beispiel für das hybride System ist PrettyGoodPrivacy PGP kann digitale Signaturen verwenden
WS01/02 Sicherheit im Web Markus Döring
Schutzmöglichkeiten-Kryptographie Steganographie (Geheimschrift)
Hierbei möchte man die Existenz einer Nachricht verbergen Benutzung durch „Photo-Cds“ Niederwertigstes Bit eines 24-Bit Bildpunktes wird genutzt Qualität wird nur minimal beeinträchtigt Auf einem Foto (2048x3072 Pixel) verschwinden 2,3 MB
Nachrichten Nachteil ist der große Überhang und die Leichtigkeit des
Entschlüsselns bei Entdeckung der Methode
WS01/02 Sicherheit im Web Markus Döring
Schutzmöglichkeiten-Kryptographie Digitale Signatur
Empfänger möchte sicher sein, dass das Dokument unverändert vom Absender eingetroffen ist und das dieser eindeutig identifiziert werden kann
Laut SigG ist eine digitale Unterschrift ein Siegel, welches mit Hilfe eines privaten Signaturschlüssels erzeugt wurde und mit einem dazugehörenden öffentl. Schlüssel, den Inhaber und die Echtheit der Daten erkennen lässt
Technisch werden asymmetrische Verfahren genutzt In der Praxis werden diese Verfahren durch Programme
vereinfacht Beim Homebanking zum Beispiel mit einer zertifizierten
Chipkarte
WS01/02 Sicherheit im Web Markus Döring
Lösungen für das WWW Anforderung an Sichere Übertragung mit HTTP
Signatur vermittelt dem Server Sicherheit über die Identität des Client
Signatur ist beim HTTP-Response des Servers an den Client nützlich, da der Client sicher sein kann, dass die Daten vom Originalserver stammen
WS01/02 Sicherheit im Web Markus Döring
Lösungen für das WWW Bei Nutzung eines zusätzlichen Proxy-Server darf
dieser Dokumente nicht in den Cache aufnehmen, bei denen der Originalserver eine Authentifizierung des Clients verlangt
Proxy-Server verfügt nicht über Autorisierungsinfor-mationen und –mechanismen des Originalservers
Nachteil: Nicht jeder Proxy verhält sich tatsächlich so Bei unchiffrierten Dokumenten: Die fälschlicherweise
gespeicherten Dokumente werden auch an Clients ausgeliefert, die auf dem Originalserver keine Zugriffsrechte besitzen
WS01/02 Sicherheit im Web Markus Döring
Lösungen für das WWW Bei chiffrierten Dokumenten sieht es anders aus Caching bringt dem zugriffsberechtigten Client bei
wiederholtem Zugriff keinen Vorteil Autorisierung muss stets der Originalserver durchführen Es schadet auch nichts, da Unbefugte das gespeicherte
vertrauliche Dokument nicht dechiffrieren können Client und Server benötigen eingebaute Security-
Funktionalität, um von kryptographischen Verfahren profitieren zu können
Für einen Proxy-Server ist dies nicht erforderlich (er reicht Requests und Responses unbesehen durch)
WS01/02 Sicherheit im Web Markus Döring
Lösungen für das WWW Bekanntestes und am weitesten verbreitestes krypto-
graphische Verfahren im WWW ist Secure Socket Layer (SSL) von Netscape Communications Corporation
Passender Server und Client wird auch angeboten Das Protokoll liegt offen Für nichtkommerzielle Anwendungen ist eine frei
verfügbare Implementierung erhältlich
WS01/02 Sicherheit im Web Markus Döring
Lösungen für das WWW SSL legt eine zusätzliche Schicht zur Anwendung hin
über die Socket-Ebene Gegenüber den wirklichen Sockets erscheint sie als
Anwendung Vorteil: SSL ist nicht allein auf HTTP als Übertra-
gungsprotokoll beschränkt. Darüber kann jedes be-liebige TCP-basierte höhere Protokoll gefahren werden
WS01/02 Sicherheit im Web Markus Döring
Lösungen für das WWW Die vorhandenen Anwendungen können nicht
automatisch von SSL profitieren Nötig sind spezielle SSL-Clients und –Server SSL bietet dem Client immer eine Authentifizierung
des Servers (innerhalb der SSL-Ebene) Bei SSL-Verbindung werden alle Daten verschlüsselt
und für Außenstehende unlesbar übertragen Integritätsprüfung gegen Verfälschung der Daten Die mit dieser Schicht aufgepeppten Internetprotokolle
laufen über andere Standardports ab (Port 443)
WS01/02 Sicherheit im Web Markus Döring
Persönlicher Schutz PC nicht unbeaufsichtigt lassen Beantworten Sie nicht alle Fragen, die beim Besuch
einer Internetseite gestellt werden Pflegen und Warten Sie Ihr System Übertragen Sie keine unverschlüsselten personen-
bezogenen Daten oder Kreditkartennummern Verschlüsseln Sie Ihre persönlichen Daten oder E-
Mails mit Programmen, wie z. B. PGP Öffnen Sie nur Ihnen bekannte Programme
WS01/02 Sicherheit im Web Markus Döring
Persönlicher Schutz Arbeiten Sie regelmäßig mit Virenscannern Diskussionsbeiträge in Newsgroups sollten nicht
archiviert werden lassen (Teilnehmerprofil) Deaktivieren Sie Optionen für Cookies Deaktivieren Sie nach Möglichkeit JavaScript und
ActiveX Lassen Sie sich anonymisieren (http://
www.anonymizer.com) Installieren Sie immer die neuesten Sicherheitpatches Wechseln Sie regelmäßig Ihre Passwörter
WS01/02 Sicherheit im Web Markus Döring
Schlussbetrachtung Es gibt keinen vollkommenden Datenschutz und keine
befriedigende Datensicherheit im Internet Trotz Hard- oder Softwareschutz besteht immer ein
Restrisiko Durch neuere Programme und schnellere Hardware
gelingt es Hackern und Spionen immer wieder Ver-schlüsselungen zu knacken
Jedes Sicherheitskonzept ist nur so gut wie der Anwender selbst
Systembetreuer sollten sich an bestehende Regeln halten
WS01/02 Sicherheit im Web Markus Döring
Schlussbetrachtung Das Risiko des Datenmissbrauchs ist wohl der Preis
für die unendlichen Weiten des Internets Kein Grund zur Panik Gemessen an der Anzahl der Internetnutzer kommt
ein Datenmissbrauch sehr selten vor
Vielen Dank für Ihre Aufmerksamkeit!