1 / 41

Seminar

WS01/02 Sicherheit im Web Markus Döring. Seminar. Sicherheit im Web. Markus Döring. Agenda. Allgemeines Datenschutz IT-Sicherheit Internet Geschichte Funktionsweise Nutzungsmöglichkeiten Informationsbeschaffung Präsentationen E-Mail Online-Banking E-Commerce. Agenda.

bruno
Download Presentation

Seminar

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. WS01/02 Sicherheit im Web Markus Döring Seminar Sicherheit im Web Markus Döring

  2. Agenda • Allgemeines • Datenschutz • IT-Sicherheit • Internet • Geschichte • Funktionsweise • Nutzungsmöglichkeiten • Informationsbeschaffung • Präsentationen • E-Mail • Online-Banking • E-Commerce

  3. Agenda • Schutzmöglichkeiten • Technischer Schutz • Firewall • Kryptografie • Digitale Signatur • Persönlicher Schutz • Lösungen für das World Wide Web • Sicherere Übertragung mit HTTP • Secure Socket Layer (SSL) • Schlussbetrachtung

  4. Allgemeines • EDV ist heutzutage nicht mehr wegzudenken • Datenabfrage auf Knopfdruck möglich • Verknüpfbarkeit und Verwertbarkeit der Daten erfordern neue Konzepte zum Schutz des Persönlich-keitsrechts • Def.: Datenschutz hat die Aufgabe, den Einzelnen davor zu schützen, dass durch den Umgang mit seinen personenbezogenen Daten sein Persönlich-keitsrecht beeinflusst wird • BDSG von 1990: „informationelle Selbstbestimmung“

  5. Allgemeines • IT-Sicherheit behandelt die technische Seite sowie die Sicherung von Datenflüssen gegen Störungen und unbefugte Eingriffe Dritter • Datensicherung ist die Gesamtheit aller organisa-torischer und technischer Vorsorgemaßnahmen gegen Verlust, Fälschung und unberechtigten Zugriff auf-grund von Katastrophen, techn. Ursachen, menschl. Versagen oder mutwilligen Eingriffen • Datensicherheit ist der angestrebte Zustand, der durch all diese Maßnahmen erreicht werden soll, aber letztlich nicht vollkommen erreicht werden kann

  6. Allgemeines • Im direkten Vergleich mit dem Datenschutz lässt sich die Datensicherung schwer abgrenzen • In den meisten Betrieben wird täglich ein Back-up des Informationssystems gemacht und verschlossen • Der Verschluss dient der Datensicherung • Sind auf dem Back-up auch personenbezogene Daten, dient der Verschluss auch dem Datenschutz • In den meisten Firmen ist die Datensicherheit wichtiger als der Datenschutz • Datenbestand soll schnell wiederherstellbar sein

  7. Internet 1983 bestand das Internet aus 500 vernetzten Rechnern Nutzung nur zum wissenschaftl. Datenaustausch 1991 wurde das World Wide Web (WWW) entwickelt Dadurch wurde dieser Teilbereich des Internets der Öffentlichkeit zugänglich gemacht Heute sind ca. 600-700 Mio. Computer weltweit dem Internet angeschlossen Tendenz rasch steigend Datenverkehr verdoppelt sich ca. alle 100 Tage

  8. Internet Internet ist ein großes Netzwerk, in dem Tausende von Computern und kleinere Netzwerke miteinander verbunden sind Datenübertragung über Telefon-/Standleitungen Fast alle Rechner benutzen das Internet Protocol (IP) Daten werden in einzelnen Datenpaketen per TCP an das zentrale IP verschickt und erhalten Empfänger- und Absenderadresse. Datenpakete werden dann einer oder mehrerer Empfängeradressen zugestellt.

  9. Internet • Informationsbeschaffung • unbegrenzter Zugang zu Informationen • z. B. in Bibliotheken stöbern, Zeitungsartikel suchen usw. • Internettelefonie, Chatten • Präsentationen • keine Firma kann es sich heute leisten nicht im Internet präsent zu sein • durch Homepage werden wichtige Infos mitgeteilt • E-Mail • innerhalb des Internets kann man Post verschicken • store und forward Dienst (eine Maschine leitet die Mail solange weiter, bis sie ihr Ziel erreicht hat)

  10. Internet • Online-Banking • Immer mehr Internetbenutzer nutzen diese Möglichkeit • Banken nutzen den HBCI Sicherheitsstandard • Die Sicherheit beim Online-Banking hat sich zum Vorzeige-objekt entwickelt • Handel im Internet (E-Commerce) • E-Commerce gehört die Zukunft • Fast jedes Produkt lässt per Internet bestellen • Man bestellt bequem online, bezahlt per Kreditkarte oder Bankeinzug • Einkaufsstress entfällt

  11. Probleme bei Nutzung des Internet • Computerkriminalität • Chaos Computer Club deckte Sicherheitslücken und –risiken auf und bot Problemlösungen an • Viele Hacker bewegen sich in der Grauzone zwischen Legalität und Kriminalität • Gesetzgeber kann nicht so schnell handeln wie es nötig ist • Frage: Ist das rasche Wachstum des Internets auf die fehlende rechtliche Würdigung (bis ca. 1995) zurückzuführen? • Erst in den letzten Jahren wurde die elektr. DV in die Strafgesetze eingearbeitet • zu wenige staatenübergreifende Gesetze und Rechtsver-ordnungen

  12. Probleme bei Nutzung des Internet • Datenspuren und Cookies • jeder Internetbenutzer hinterlässt Spuren im Internet • Log-Files werden von Experten aufgezeichnet und ausge-wertet • Identifizierung durch elektr. Seriennummer des Prozessors • durch Besuchen von Internetseiten kann ein eindeutiges Nutzerprofil erstellt werden • Archivierungsfirmen archivieren regelmäßig das Internet • Unternehmer legen Cookies auf Fremdrechner ab • Cookies dienen eigentlich der Realisierung von Warenkörben

  13. Probleme bei Nutzung des Internet • Firmen sprechen von verbesserten Kundenservice • Verbraucherschutz warnt vor gläsernen Surfer • Kunde kann nicht selber über die Verwendung der Daten entscheiden • Mit Kundendaten wird viel Geld verdient • Welche Daten werden übermittelt? • Stammdaten, die eine Person beim Provider identifizieren • Verbindungsdaten, wer, wann mit wem wie viele Daten ausgetauscht hat • Inhaltsdaten, d. h. der Inhalt der eigentlichen Nachricht

  14. Probleme bei Nutzung des Internet • Generell ist der Provider dazu verpflichtet das „keine oder so wenig personenbez. Daten wie möglich“ gespeichert werden • Aufbewahrung der Daten zur Archivierung ist nicht gestattet • Eine Löschung der Daten muss frühestmöglich oder unmittelbar erfolgen • Provider muss dem Nutzer eine anonyme oder unter einem Pseudonym geführte Inanspruchnahme der Dienste ermöglichen

  15. Probleme bei Nutzung des Internet • Die Erstellung eines Nutzerprofils ist nur unter der Verwendung eines Pseudonyms möglich • Jeder Benutzer muss seine Daten beim Provider einsehen können • Diese strengen Regelung gelten nur für Deutschland • In den USA werden professionelle Log-File-Analysen als Dienstleistung angeboten • Globale Gesetzgebung im Internetdatenschutz wäre wünschenswert, aber mittelfristig nicht zu realisieren

  16. Probleme bei Nutzung des Internet • Viren • Datenfragmente oder angehängte Codes schleichen sich über fremde Datenträger oder Netzwerke auf die Festplatte • Daten werden zerstört, manipuliert oder es passieren einfach nur verrückte Dinge • Viele Viren werden zu einen bestimmten Termin aktiviert • Eine echte Gefahr geht nur von ca. 5% der Viren aus • Jeden Monat erscheinen ca. 400 neue Viren • Anti-Virus-Software bietet vorerst einzigen Schutz

  17. Probleme bei Nutzung des Internet • Trojanische Pferde (Trojaner) • Computerviren, die sich selber verbreiten und vermehren • Angreifer kann bei jeder Onlinesitzung des Betroffenen Passwörter mitlesen • Manipulation von Daten und Vermehrung auch über E-Mail möglich • Trojaner sind meist in Programmen versteckt, die aus dem Internet geladen wurden • Beispiel: In Word-Dokument versteckt und wird per E-Mail verschickt. Im System eingebrochen verschickt sich der Trojaner an 50 Adressen aus dem Adressbuch weiter

  18. Probleme bei Nutzung des Internet • Wie bei Viren sind nur ca. 5% der Trojaner gefährlich • Virenprogrammierer wollen hauptsächlich die Schnelligkeit der Vermehrung ihrer Trojaner testen • Nachträgliche Schutzmaßnahmen gegen Trojaner bietet auch hier nur die Anti-Viren-Software • Unterschrift und Bezahlung • Jeder möchte den Nachweis haben, ob ein Schreiben echt, vollständig und auch tatsächlich vom Absender ist • Lösung bietet hier die digitale Unterschrift bzw. Signatur • Keiner möchte seine Kreditkartennummer unverschlüsselt senden • Ziel ist den elektronischen Handel so sicher zu machen wie das Online-Banking

  19. Schutzmöglichkeiten-Firewall • Wer Daten nicht preisgeben möchte oder darf ist auf kostenintensive Soft- und Hardware angewiesen • Datenverlust könnte ganze Unternehmen ruinieren • Viele Unternehmen planen ihr internes Firmennetz an das Internet zu koppeln, um neue Märkte zu er-schließen • Übergangspunkt zum Internet ist der Schwachpunkt • In der Praxis haben sich zwei Systeme etabliert • Jeder Rechner wird einzeln gegen Angriffe von außen gesichert -> hoher Kostenfaktor

  20. Schutzmöglichkeiten-Firewall • Kostengünstigere Alternative ist die Einrichtung eines Firewall-Rechners • Dieser Rechner bildet die Schnittstelle zwischen Firmen- und öffentlichen Netz • Alle Sicherheitsmaßnahmen erstrecken sich auf diesen Rechner zwischengeschalteter Firewall-Rechner

  21. Schutzmöglichkeiten-Firewall • Eine Firewall beaufsichtigt sämtliche Datentransfers zwischen dem sicheren LAN und dem Internet • Schutzniveau wird vom LAN bestimmt • Korrekte Administration beeinflusst stark die Sicherheit und erfolgt daher meist von Anbieterfirmen • Zwei Arbeitsweisen einer Firewall: • Paketfilterprinzip: Die Versandinformationen in den Daten-paketen werden untersucht. Die Firewall entscheidet, wie und ob das Datenpaket weitergeleitet werden soll. Der Filter selbst besitzt keine IP-Adresse, ist daher unsichtbar und kann nicht von außen angesprochen oder manipuliert werden

  22. Schutzmöglichkeiten-Firewall • Dual Homed Gateway: arbeitet mit mehreren Verbindungen. Es besteht einerseits eine Verbindung mit dem internen LAN u. anderseits eine Verbindung mit einem öffentl. FTP/Server. Dieser DHG-Rechner ist als einziger aus dem Internet zu erreichen. Dual Homed Gateway Prinzip

  23. Schutzmöglichkeiten-Firewall • Dieser Rechner speichert alle eingehenden Daten auf der Applikationsebene und überprüft sie • Verläuft die Prüfung positiv, so werden die Daten auf die Netzwerkebene des Firmennetz weitergeleitet • Ein Einbruch in dieses System ist relativ einfach • Da aber alle Datenbewegungen protokolliert werden, kann ein Einbruch sehr einfach und schnell erkannt werden und genauso einfach unterbunden werden • Der Erfolg der Firewall hängt stark von der dazuge-hörigen Administration ab

  24. Schutzmöglichkeiten-Kryptographie • Regierungen und Militärs nutzten schon immer Kryptografie um ihre Daten zu schützen • Aufschwung im privaten und kommerziellen Bereich • größte Know-how besitzen die Militärs • In den USA fielen Kryptomittel unter das Waffen-exportgesetz • Militärs verweigerten den Export von Kryptomitteln bis September 1999 aus Angst vor organisierter Kriminalität

  25. Schutzmöglichkeiten-Kryptographie • Hauptaufgaben der Verschlüsselung • Die Nachricht wird geheimgehalten • Die Nachricht kommt unverfälscht beim Empfänger an • Der Absender kann ggf. identifiziert werden • Algorithmen wandeln Klartext in Chiffretext um • Ziel ist es ein möglichst sicheren Algorithmus zu schaffen, sodass ein Entschlüsselungsversuch zu teuer oder der zeitliche Aufwand zu hoch ist • Verschlüsselungen laufen im Hintergrund ab • Programme generieren Schlüssel automatisch

  26. Schutzmöglichkeiten-Kryptographie • Symmetrisches Verfahren (auch Private-Key) • Zur Ver- und Entschlüsselung wird der gleiche Schlüssel benutzt • Ein Schlüssel wird festgelegt, die Nachricht damit ver-schlüsselt, versandt und mit dem gleichen Schlüssel entschlüsselt • Bekannteste Systeme sind DES und IDEA • Problem ist die sichere Übermittlung und die Anzahl der zu tauschenden Schlüssel • Sicherheit: bei einer Schlüssellänge von 56Bit braucht ein Rechner mit 1 Mio. Verschlüsselungsmöglich-keiten 2000 Jahre (bei 128Bit Jahre)

  27. Schutzmöglichkeiten-Kryptographie • Asymmetrisches Verfahren • Ein öffentlicher public-key und ein pers. Schlüssel secret-key • Beziehung bzw. Ableitbarkeit der Schlüssel besteht nicht • Öffentliche Schlüssel ist im Netz bekannt und wird häufig von einer Zertifizierungsstelle verwaltet • Persönlicher Schlüssel ist nur dem Benutzer bekannt • Der zu verschlüsselnde Text an den Benutzer x wird mit seinem öffentl. bekannten Schlüssel verschlüsselt und versandt (keine Rückcodierung möglich) • Benutzer x entschlüsselt Text mit seinem secret-key • Empfängeradresse muss Text vorangestellt werden und darf nicht mitverschlüsselt werden

  28. Schutzmöglichkeiten-Kryptographie • Bekanntestes Verschlüsselungsverfahren ist das RSA (Rivest Shamir Adleman,1977, IBM) • Asymmetrische Verfahren sind wesentlich komplexer und dadurch erheblich langsamer • In der Praxis werden oft Hybridmodelle benutzt • Dabei wird der symmetr. Schlüssel durch ein asymmetr. Verfahren verschlüsselt und verschickt • Beide Parteien haben ein und denselben Schlüssel • Beispiel für das hybride System ist PrettyGoodPrivacy • PGP kann digitale Signaturen verwenden

  29. Schutzmöglichkeiten-Kryptographie • Steganographie (Geheimschrift) • Hierbei möchte man die Existenz einer Nachricht verbergen • Benutzung durch „Photo-Cds“ • Niederwertigstes Bit eines 24-Bit Bildpunktes wird genutzt • Qualität wird nur minimal beeinträchtigt • Auf einem Foto (2048x3072 Pixel) verschwinden 2,3 MB Nachrichten • Nachteil ist der große Überhang und die Leichtigkeit des Entschlüsselns bei Entdeckung der Methode

  30. Schutzmöglichkeiten-Kryptographie • Digitale Signatur • Empfänger möchte sicher sein, dass das Dokument unverändert vom Absender eingetroffen ist und das dieser eindeutig identifiziert werden kann • Laut SigG ist eine digitale Unterschrift ein Siegel, welches mit Hilfe eines privaten Signaturschlüssels erzeugt wurde und mit einem dazugehörenden öffentl. Schlüssel, den Inhaber und die Echtheit der Daten erkennen lässt • Technisch werden asymmetrische Verfahren genutzt • In der Praxis werden diese Verfahren durch Programme vereinfacht • Beim Homebanking zum Beispiel mit einer zertifizierten Chipkarte

  31. Lösungen für das WWW • Anforderung an Sichere Übertragung mit HTTP • Signatur vermittelt dem Server Sicherheit über die Identität des Client • Signatur ist beim HTTP-Response des Servers an den Client nützlich, da der Client sicher sein kann, dass die Daten vom Originalserver stammen

  32. Lösungen für das WWW • Bei Nutzung eines zusätzlichen Proxy-Server darf dieser Dokumente nicht in den Cache aufnehmen, bei denen der Originalserver eine Authentifizierung des Clients verlangt • Proxy-Server verfügt nicht über Autorisierungsinfor-mationen und –mechanismen des Originalservers • Nachteil: Nicht jeder Proxy verhält sich tatsächlich so • Bei unchiffrierten Dokumenten: Die fälschlicherweise gespeicherten Dokumente werden auch an Clients ausgeliefert, die auf dem Originalserver keine Zugriffsrechte besitzen

  33. Lösungen für das WWW • Bei chiffrierten Dokumenten sieht es anders aus • Caching bringt dem zugriffsberechtigten Client bei wiederholtem Zugriff keinen Vorteil • Autorisierung muss stets der Originalserver durchführen • Es schadet auch nichts, da Unbefugte das gespeicherte vertrauliche Dokument nicht dechiffrieren können • Client und Server benötigen eingebaute Security-Funktionalität, um von kryptographischen Verfahren profitieren zu können • Für einen Proxy-Server ist dies nicht erforderlich (er reicht Requests und Responses unbesehen durch)

  34. Lösungen für das WWW • Bekanntestes und am weitesten verbreitestes krypto-graphische Verfahren im WWW ist Secure Socket Layer (SSL) von Netscape Communications Corporation • Passender Server und Client wird auch angeboten • Das Protokoll liegt offen • Für nichtkommerzielle Anwendungen ist eine frei verfügbare Implementierung erhältlich

  35. Lösungen für das WWW • SSL legt eine zusätzliche Schicht zur Anwendung hin über die Socket-Ebene • Gegenüber den wirklichen Sockets erscheint sie als Anwendung • Vorteil: SSL ist nicht allein auf HTTP als Übertra-gungsprotokoll beschränkt. Darüber kann jedes be-liebige TCP-basierte höhere Protokoll gefahren werden

  36. Lösungen für das WWW • Die vorhandenen Anwendungen können nicht automatisch von SSL profitieren • Nötig sind spezielle SSL-Clients und –Server • SSL bietet dem Client immer eine Authentifizierung des Servers (innerhalb der SSL-Ebene) • Bei SSL-Verbindung werden alle Daten verschlüsselt und für Außenstehende unlesbar übertragen • Integritätsprüfung gegen Verfälschung der Daten • Die mit dieser Schicht aufgepeppten Internetprotokolle laufen über andere Standardports ab (Port 443)

  37. Persönlicher Schutz • PC nicht unbeaufsichtigt lassen • Beantworten Sie nicht alle Fragen, die beim Besuch einer Internetseite gestellt werden • Pflegen und Warten Sie Ihr System • Übertragen Sie keine unverschlüsselten personen-bezogenen Daten oder Kreditkartennummern • Verschlüsseln Sie Ihre persönlichen Daten oder E-Mails mit Programmen, wie z. B. PGP • Öffnen Sie nur Ihnen bekannte Programme

  38. Persönlicher Schutz • Arbeiten Sie regelmäßig mit Virenscannern • Diskussionsbeiträge in Newsgroups sollten nicht archiviert werden lassen (Teilnehmerprofil) • Deaktivieren Sie Optionen für Cookies • Deaktivieren Sie nach Möglichkeit JavaScript und ActiveX • Lassen Sie sich anonymisieren (http://www.anonymizer.com) • Installieren Sie immer die neuesten Sicherheitpatches • Wechseln Sie regelmäßig Ihre Passwörter

  39. Schlussbetrachtung • Es gibt keinen vollkommenden Datenschutz und keine befriedigende Datensicherheit im Internet • Trotz Hard- oder Softwareschutz besteht immer ein Restrisiko • Durch neuere Programme und schnellere Hardware gelingt es Hackern und Spionen immer wieder Ver-schlüsselungen zu knacken • Jedes Sicherheitskonzept ist nur so gut wie der Anwender selbst • Systembetreuer sollten sich an bestehende Regeln halten

  40. Schlussbetrachtung • Das Risiko des Datenmissbrauchs ist wohl der Preis für die unendlichen Weiten des Internets • Kein Grund zur Panik • Gemessen an der Anzahl der Internetnutzer kommt ein Datenmissbrauch sehr selten vor

  41. Vielen Dank für Ihre Aufmerksamkeit!

More Related