410 likes | 532 Views
WS01/02 Sicherheit im Web Markus Döring. Seminar. Sicherheit im Web. Markus Döring. Agenda. Allgemeines Datenschutz IT-Sicherheit Internet Geschichte Funktionsweise Nutzungsmöglichkeiten Informationsbeschaffung Präsentationen E-Mail Online-Banking E-Commerce. Agenda.
E N D
WS01/02 Sicherheit im Web Markus Döring Seminar Sicherheit im Web Markus Döring
Agenda • Allgemeines • Datenschutz • IT-Sicherheit • Internet • Geschichte • Funktionsweise • Nutzungsmöglichkeiten • Informationsbeschaffung • Präsentationen • E-Mail • Online-Banking • E-Commerce
Agenda • Schutzmöglichkeiten • Technischer Schutz • Firewall • Kryptografie • Digitale Signatur • Persönlicher Schutz • Lösungen für das World Wide Web • Sicherere Übertragung mit HTTP • Secure Socket Layer (SSL) • Schlussbetrachtung
Allgemeines • EDV ist heutzutage nicht mehr wegzudenken • Datenabfrage auf Knopfdruck möglich • Verknüpfbarkeit und Verwertbarkeit der Daten erfordern neue Konzepte zum Schutz des Persönlich-keitsrechts • Def.: Datenschutz hat die Aufgabe, den Einzelnen davor zu schützen, dass durch den Umgang mit seinen personenbezogenen Daten sein Persönlich-keitsrecht beeinflusst wird • BDSG von 1990: „informationelle Selbstbestimmung“
Allgemeines • IT-Sicherheit behandelt die technische Seite sowie die Sicherung von Datenflüssen gegen Störungen und unbefugte Eingriffe Dritter • Datensicherung ist die Gesamtheit aller organisa-torischer und technischer Vorsorgemaßnahmen gegen Verlust, Fälschung und unberechtigten Zugriff auf-grund von Katastrophen, techn. Ursachen, menschl. Versagen oder mutwilligen Eingriffen • Datensicherheit ist der angestrebte Zustand, der durch all diese Maßnahmen erreicht werden soll, aber letztlich nicht vollkommen erreicht werden kann
Allgemeines • Im direkten Vergleich mit dem Datenschutz lässt sich die Datensicherung schwer abgrenzen • In den meisten Betrieben wird täglich ein Back-up des Informationssystems gemacht und verschlossen • Der Verschluss dient der Datensicherung • Sind auf dem Back-up auch personenbezogene Daten, dient der Verschluss auch dem Datenschutz • In den meisten Firmen ist die Datensicherheit wichtiger als der Datenschutz • Datenbestand soll schnell wiederherstellbar sein
Internet 1983 bestand das Internet aus 500 vernetzten Rechnern Nutzung nur zum wissenschaftl. Datenaustausch 1991 wurde das World Wide Web (WWW) entwickelt Dadurch wurde dieser Teilbereich des Internets der Öffentlichkeit zugänglich gemacht Heute sind ca. 600-700 Mio. Computer weltweit dem Internet angeschlossen Tendenz rasch steigend Datenverkehr verdoppelt sich ca. alle 100 Tage
Internet Internet ist ein großes Netzwerk, in dem Tausende von Computern und kleinere Netzwerke miteinander verbunden sind Datenübertragung über Telefon-/Standleitungen Fast alle Rechner benutzen das Internet Protocol (IP) Daten werden in einzelnen Datenpaketen per TCP an das zentrale IP verschickt und erhalten Empfänger- und Absenderadresse. Datenpakete werden dann einer oder mehrerer Empfängeradressen zugestellt.
Internet • Informationsbeschaffung • unbegrenzter Zugang zu Informationen • z. B. in Bibliotheken stöbern, Zeitungsartikel suchen usw. • Internettelefonie, Chatten • Präsentationen • keine Firma kann es sich heute leisten nicht im Internet präsent zu sein • durch Homepage werden wichtige Infos mitgeteilt • E-Mail • innerhalb des Internets kann man Post verschicken • store und forward Dienst (eine Maschine leitet die Mail solange weiter, bis sie ihr Ziel erreicht hat)
Internet • Online-Banking • Immer mehr Internetbenutzer nutzen diese Möglichkeit • Banken nutzen den HBCI Sicherheitsstandard • Die Sicherheit beim Online-Banking hat sich zum Vorzeige-objekt entwickelt • Handel im Internet (E-Commerce) • E-Commerce gehört die Zukunft • Fast jedes Produkt lässt per Internet bestellen • Man bestellt bequem online, bezahlt per Kreditkarte oder Bankeinzug • Einkaufsstress entfällt
Probleme bei Nutzung des Internet • Computerkriminalität • Chaos Computer Club deckte Sicherheitslücken und –risiken auf und bot Problemlösungen an • Viele Hacker bewegen sich in der Grauzone zwischen Legalität und Kriminalität • Gesetzgeber kann nicht so schnell handeln wie es nötig ist • Frage: Ist das rasche Wachstum des Internets auf die fehlende rechtliche Würdigung (bis ca. 1995) zurückzuführen? • Erst in den letzten Jahren wurde die elektr. DV in die Strafgesetze eingearbeitet • zu wenige staatenübergreifende Gesetze und Rechtsver-ordnungen
Probleme bei Nutzung des Internet • Datenspuren und Cookies • jeder Internetbenutzer hinterlässt Spuren im Internet • Log-Files werden von Experten aufgezeichnet und ausge-wertet • Identifizierung durch elektr. Seriennummer des Prozessors • durch Besuchen von Internetseiten kann ein eindeutiges Nutzerprofil erstellt werden • Archivierungsfirmen archivieren regelmäßig das Internet • Unternehmer legen Cookies auf Fremdrechner ab • Cookies dienen eigentlich der Realisierung von Warenkörben
Probleme bei Nutzung des Internet • Firmen sprechen von verbesserten Kundenservice • Verbraucherschutz warnt vor gläsernen Surfer • Kunde kann nicht selber über die Verwendung der Daten entscheiden • Mit Kundendaten wird viel Geld verdient • Welche Daten werden übermittelt? • Stammdaten, die eine Person beim Provider identifizieren • Verbindungsdaten, wer, wann mit wem wie viele Daten ausgetauscht hat • Inhaltsdaten, d. h. der Inhalt der eigentlichen Nachricht
Probleme bei Nutzung des Internet • Generell ist der Provider dazu verpflichtet das „keine oder so wenig personenbez. Daten wie möglich“ gespeichert werden • Aufbewahrung der Daten zur Archivierung ist nicht gestattet • Eine Löschung der Daten muss frühestmöglich oder unmittelbar erfolgen • Provider muss dem Nutzer eine anonyme oder unter einem Pseudonym geführte Inanspruchnahme der Dienste ermöglichen
Probleme bei Nutzung des Internet • Die Erstellung eines Nutzerprofils ist nur unter der Verwendung eines Pseudonyms möglich • Jeder Benutzer muss seine Daten beim Provider einsehen können • Diese strengen Regelung gelten nur für Deutschland • In den USA werden professionelle Log-File-Analysen als Dienstleistung angeboten • Globale Gesetzgebung im Internetdatenschutz wäre wünschenswert, aber mittelfristig nicht zu realisieren
Probleme bei Nutzung des Internet • Viren • Datenfragmente oder angehängte Codes schleichen sich über fremde Datenträger oder Netzwerke auf die Festplatte • Daten werden zerstört, manipuliert oder es passieren einfach nur verrückte Dinge • Viele Viren werden zu einen bestimmten Termin aktiviert • Eine echte Gefahr geht nur von ca. 5% der Viren aus • Jeden Monat erscheinen ca. 400 neue Viren • Anti-Virus-Software bietet vorerst einzigen Schutz
Probleme bei Nutzung des Internet • Trojanische Pferde (Trojaner) • Computerviren, die sich selber verbreiten und vermehren • Angreifer kann bei jeder Onlinesitzung des Betroffenen Passwörter mitlesen • Manipulation von Daten und Vermehrung auch über E-Mail möglich • Trojaner sind meist in Programmen versteckt, die aus dem Internet geladen wurden • Beispiel: In Word-Dokument versteckt und wird per E-Mail verschickt. Im System eingebrochen verschickt sich der Trojaner an 50 Adressen aus dem Adressbuch weiter
Probleme bei Nutzung des Internet • Wie bei Viren sind nur ca. 5% der Trojaner gefährlich • Virenprogrammierer wollen hauptsächlich die Schnelligkeit der Vermehrung ihrer Trojaner testen • Nachträgliche Schutzmaßnahmen gegen Trojaner bietet auch hier nur die Anti-Viren-Software • Unterschrift und Bezahlung • Jeder möchte den Nachweis haben, ob ein Schreiben echt, vollständig und auch tatsächlich vom Absender ist • Lösung bietet hier die digitale Unterschrift bzw. Signatur • Keiner möchte seine Kreditkartennummer unverschlüsselt senden • Ziel ist den elektronischen Handel so sicher zu machen wie das Online-Banking
Schutzmöglichkeiten-Firewall • Wer Daten nicht preisgeben möchte oder darf ist auf kostenintensive Soft- und Hardware angewiesen • Datenverlust könnte ganze Unternehmen ruinieren • Viele Unternehmen planen ihr internes Firmennetz an das Internet zu koppeln, um neue Märkte zu er-schließen • Übergangspunkt zum Internet ist der Schwachpunkt • In der Praxis haben sich zwei Systeme etabliert • Jeder Rechner wird einzeln gegen Angriffe von außen gesichert -> hoher Kostenfaktor
Schutzmöglichkeiten-Firewall • Kostengünstigere Alternative ist die Einrichtung eines Firewall-Rechners • Dieser Rechner bildet die Schnittstelle zwischen Firmen- und öffentlichen Netz • Alle Sicherheitsmaßnahmen erstrecken sich auf diesen Rechner zwischengeschalteter Firewall-Rechner
Schutzmöglichkeiten-Firewall • Eine Firewall beaufsichtigt sämtliche Datentransfers zwischen dem sicheren LAN und dem Internet • Schutzniveau wird vom LAN bestimmt • Korrekte Administration beeinflusst stark die Sicherheit und erfolgt daher meist von Anbieterfirmen • Zwei Arbeitsweisen einer Firewall: • Paketfilterprinzip: Die Versandinformationen in den Daten-paketen werden untersucht. Die Firewall entscheidet, wie und ob das Datenpaket weitergeleitet werden soll. Der Filter selbst besitzt keine IP-Adresse, ist daher unsichtbar und kann nicht von außen angesprochen oder manipuliert werden
Schutzmöglichkeiten-Firewall • Dual Homed Gateway: arbeitet mit mehreren Verbindungen. Es besteht einerseits eine Verbindung mit dem internen LAN u. anderseits eine Verbindung mit einem öffentl. FTP/Server. Dieser DHG-Rechner ist als einziger aus dem Internet zu erreichen. Dual Homed Gateway Prinzip
Schutzmöglichkeiten-Firewall • Dieser Rechner speichert alle eingehenden Daten auf der Applikationsebene und überprüft sie • Verläuft die Prüfung positiv, so werden die Daten auf die Netzwerkebene des Firmennetz weitergeleitet • Ein Einbruch in dieses System ist relativ einfach • Da aber alle Datenbewegungen protokolliert werden, kann ein Einbruch sehr einfach und schnell erkannt werden und genauso einfach unterbunden werden • Der Erfolg der Firewall hängt stark von der dazuge-hörigen Administration ab
Schutzmöglichkeiten-Kryptographie • Regierungen und Militärs nutzten schon immer Kryptografie um ihre Daten zu schützen • Aufschwung im privaten und kommerziellen Bereich • größte Know-how besitzen die Militärs • In den USA fielen Kryptomittel unter das Waffen-exportgesetz • Militärs verweigerten den Export von Kryptomitteln bis September 1999 aus Angst vor organisierter Kriminalität
Schutzmöglichkeiten-Kryptographie • Hauptaufgaben der Verschlüsselung • Die Nachricht wird geheimgehalten • Die Nachricht kommt unverfälscht beim Empfänger an • Der Absender kann ggf. identifiziert werden • Algorithmen wandeln Klartext in Chiffretext um • Ziel ist es ein möglichst sicheren Algorithmus zu schaffen, sodass ein Entschlüsselungsversuch zu teuer oder der zeitliche Aufwand zu hoch ist • Verschlüsselungen laufen im Hintergrund ab • Programme generieren Schlüssel automatisch
Schutzmöglichkeiten-Kryptographie • Symmetrisches Verfahren (auch Private-Key) • Zur Ver- und Entschlüsselung wird der gleiche Schlüssel benutzt • Ein Schlüssel wird festgelegt, die Nachricht damit ver-schlüsselt, versandt und mit dem gleichen Schlüssel entschlüsselt • Bekannteste Systeme sind DES und IDEA • Problem ist die sichere Übermittlung und die Anzahl der zu tauschenden Schlüssel • Sicherheit: bei einer Schlüssellänge von 56Bit braucht ein Rechner mit 1 Mio. Verschlüsselungsmöglich-keiten 2000 Jahre (bei 128Bit Jahre)
Schutzmöglichkeiten-Kryptographie • Asymmetrisches Verfahren • Ein öffentlicher public-key und ein pers. Schlüssel secret-key • Beziehung bzw. Ableitbarkeit der Schlüssel besteht nicht • Öffentliche Schlüssel ist im Netz bekannt und wird häufig von einer Zertifizierungsstelle verwaltet • Persönlicher Schlüssel ist nur dem Benutzer bekannt • Der zu verschlüsselnde Text an den Benutzer x wird mit seinem öffentl. bekannten Schlüssel verschlüsselt und versandt (keine Rückcodierung möglich) • Benutzer x entschlüsselt Text mit seinem secret-key • Empfängeradresse muss Text vorangestellt werden und darf nicht mitverschlüsselt werden
Schutzmöglichkeiten-Kryptographie • Bekanntestes Verschlüsselungsverfahren ist das RSA (Rivest Shamir Adleman,1977, IBM) • Asymmetrische Verfahren sind wesentlich komplexer und dadurch erheblich langsamer • In der Praxis werden oft Hybridmodelle benutzt • Dabei wird der symmetr. Schlüssel durch ein asymmetr. Verfahren verschlüsselt und verschickt • Beide Parteien haben ein und denselben Schlüssel • Beispiel für das hybride System ist PrettyGoodPrivacy • PGP kann digitale Signaturen verwenden
Schutzmöglichkeiten-Kryptographie • Steganographie (Geheimschrift) • Hierbei möchte man die Existenz einer Nachricht verbergen • Benutzung durch „Photo-Cds“ • Niederwertigstes Bit eines 24-Bit Bildpunktes wird genutzt • Qualität wird nur minimal beeinträchtigt • Auf einem Foto (2048x3072 Pixel) verschwinden 2,3 MB Nachrichten • Nachteil ist der große Überhang und die Leichtigkeit des Entschlüsselns bei Entdeckung der Methode
Schutzmöglichkeiten-Kryptographie • Digitale Signatur • Empfänger möchte sicher sein, dass das Dokument unverändert vom Absender eingetroffen ist und das dieser eindeutig identifiziert werden kann • Laut SigG ist eine digitale Unterschrift ein Siegel, welches mit Hilfe eines privaten Signaturschlüssels erzeugt wurde und mit einem dazugehörenden öffentl. Schlüssel, den Inhaber und die Echtheit der Daten erkennen lässt • Technisch werden asymmetrische Verfahren genutzt • In der Praxis werden diese Verfahren durch Programme vereinfacht • Beim Homebanking zum Beispiel mit einer zertifizierten Chipkarte
Lösungen für das WWW • Anforderung an Sichere Übertragung mit HTTP • Signatur vermittelt dem Server Sicherheit über die Identität des Client • Signatur ist beim HTTP-Response des Servers an den Client nützlich, da der Client sicher sein kann, dass die Daten vom Originalserver stammen
Lösungen für das WWW • Bei Nutzung eines zusätzlichen Proxy-Server darf dieser Dokumente nicht in den Cache aufnehmen, bei denen der Originalserver eine Authentifizierung des Clients verlangt • Proxy-Server verfügt nicht über Autorisierungsinfor-mationen und –mechanismen des Originalservers • Nachteil: Nicht jeder Proxy verhält sich tatsächlich so • Bei unchiffrierten Dokumenten: Die fälschlicherweise gespeicherten Dokumente werden auch an Clients ausgeliefert, die auf dem Originalserver keine Zugriffsrechte besitzen
Lösungen für das WWW • Bei chiffrierten Dokumenten sieht es anders aus • Caching bringt dem zugriffsberechtigten Client bei wiederholtem Zugriff keinen Vorteil • Autorisierung muss stets der Originalserver durchführen • Es schadet auch nichts, da Unbefugte das gespeicherte vertrauliche Dokument nicht dechiffrieren können • Client und Server benötigen eingebaute Security-Funktionalität, um von kryptographischen Verfahren profitieren zu können • Für einen Proxy-Server ist dies nicht erforderlich (er reicht Requests und Responses unbesehen durch)
Lösungen für das WWW • Bekanntestes und am weitesten verbreitestes krypto-graphische Verfahren im WWW ist Secure Socket Layer (SSL) von Netscape Communications Corporation • Passender Server und Client wird auch angeboten • Das Protokoll liegt offen • Für nichtkommerzielle Anwendungen ist eine frei verfügbare Implementierung erhältlich
Lösungen für das WWW • SSL legt eine zusätzliche Schicht zur Anwendung hin über die Socket-Ebene • Gegenüber den wirklichen Sockets erscheint sie als Anwendung • Vorteil: SSL ist nicht allein auf HTTP als Übertra-gungsprotokoll beschränkt. Darüber kann jedes be-liebige TCP-basierte höhere Protokoll gefahren werden
Lösungen für das WWW • Die vorhandenen Anwendungen können nicht automatisch von SSL profitieren • Nötig sind spezielle SSL-Clients und –Server • SSL bietet dem Client immer eine Authentifizierung des Servers (innerhalb der SSL-Ebene) • Bei SSL-Verbindung werden alle Daten verschlüsselt und für Außenstehende unlesbar übertragen • Integritätsprüfung gegen Verfälschung der Daten • Die mit dieser Schicht aufgepeppten Internetprotokolle laufen über andere Standardports ab (Port 443)
Persönlicher Schutz • PC nicht unbeaufsichtigt lassen • Beantworten Sie nicht alle Fragen, die beim Besuch einer Internetseite gestellt werden • Pflegen und Warten Sie Ihr System • Übertragen Sie keine unverschlüsselten personen-bezogenen Daten oder Kreditkartennummern • Verschlüsseln Sie Ihre persönlichen Daten oder E-Mails mit Programmen, wie z. B. PGP • Öffnen Sie nur Ihnen bekannte Programme
Persönlicher Schutz • Arbeiten Sie regelmäßig mit Virenscannern • Diskussionsbeiträge in Newsgroups sollten nicht archiviert werden lassen (Teilnehmerprofil) • Deaktivieren Sie Optionen für Cookies • Deaktivieren Sie nach Möglichkeit JavaScript und ActiveX • Lassen Sie sich anonymisieren (http://www.anonymizer.com) • Installieren Sie immer die neuesten Sicherheitpatches • Wechseln Sie regelmäßig Ihre Passwörter
Schlussbetrachtung • Es gibt keinen vollkommenden Datenschutz und keine befriedigende Datensicherheit im Internet • Trotz Hard- oder Softwareschutz besteht immer ein Restrisiko • Durch neuere Programme und schnellere Hardware gelingt es Hackern und Spionen immer wieder Ver-schlüsselungen zu knacken • Jedes Sicherheitskonzept ist nur so gut wie der Anwender selbst • Systembetreuer sollten sich an bestehende Regeln halten
Schlussbetrachtung • Das Risiko des Datenmissbrauchs ist wohl der Preis für die unendlichen Weiten des Internets • Kein Grund zur Panik • Gemessen an der Anzahl der Internetnutzer kommt ein Datenmissbrauch sehr selten vor