Post on 05-Apr-2015
W. Kruth 2001 1
IT-Sicherheit in Kommunikationsdiensten
W. Kruth 2001 2
Verbesserungsvorschläge werden gerne angenommen:
Mail-Adresse: wkruth@t-online.de
Danke.
W. Kruth 2001 3
Modulstruktur
• 1 Datenschutz, Datensicherung, IT-Sicherheit
• 2 Durchführung einer Bedrohungs-, Risiko- und Schadensanalyse
• 3 Datenschutz- und Datensicherungskonzept
• 4 Sicherheit im Intranet und Internet
W. Kruth 2001 4
Modulstruktur
• 5 Kryptografie und Digitale Signatur
• 6 Sicherheit im E-Business
• 7 Sicherheit von E-Government-Prozessen
W. Kruth 2001 5
Modul 1
Datenschutz
Datensicherung
IT-Sicherheit
W. Kruth 2001 6
Datenschutz
• Datenschutz ist der normative Auftrag an juristische Personen des privaten und öffentlichen Rechts, das informationelle Selbstbestimmungsrecht des Einzelnen vor unzulässiger Beeinträchtigung zu schützen.
W. Kruth 2001 7
Datenschutz
• Die nicht-automatisierte und automatisierte– Erhebung– Speicherung– Verarbeitung– Übermittlung
personenbezogener Daten ist nur zulässig, wenn dies durch Gesetz oder andere Rechtsvorschrift ausdrücklich bestimmt ist.
W. Kruth 2001 8
Datenschutz
• Personenbezogene Daten sind alle– Informationen bei nicht-automatisierter DV
bzw.– Daten bei automatisierter DV,
die direkt oder indirekt sich auf – Eigenschaften– wirtschaftliche und soziale Verhältnisse
einer natürlichen Person beziehen.
W. Kruth 2001 9
Datenschutz
• Außerhalb der normativ geregelten Erlaubnistatbestände dürfen personenbezogene Daten nur mit einer auf Sacherkennung basierenden Einwilligung der betroffenen natürlichen Person erhoben werden.
W. Kruth 2001 10
Datenschutz
• Rechtsvorschriften zum Datenschutz sind zunächst lex specialis mit Anwendungsvorrang vor lex generalis.
• Lex generalis wirken subsidiär.• Das Wissen über die infrage kommenden
Rechtsvorschriften ist eine essentielle Voraussetzung für praktizierbaren Datenschutz.
W. Kruth 2001 11
Datenschutz
• Die Datenschutz-Kompetenz ist bei der Stelle oder Person angesiedelt, die nach den Organisationsregeln des Unternehmens die originäre Zuständigkeit für die Erhebung, Speicherung, Verarbeitung oder Übermittlung von definierten personenbezogenen Daten verliehen bekommt.
W. Kruth 2001 12
Datenschutz
• Diese „verantwortliche Stelle“ kann sich externer Unterstützung durch Outsourcing bedienen (Auftragsdatenverarbeitung).
• Bei Auftragsdatenverarbeitung wird der Auftragnehmer aus datenschutzrechtlicher Sicht Bestandteil der verantwortlichen Stelle.
W. Kruth 2001 13
Datenschutz
• Werden personenbezogene Daten von einer verantwortlichen Stelle an eine andere Stelle innerhalb oder außerhalb des Unternehmens übermittelt, die ein legales und nachprüfbares Interesse bekundet, wird die empfangende Stelle ebenfalls „verantwortliche Stelle“ im Sinne der Datenschutzgesetze.
W. Kruth 2001 14
Datenschutz
• Beim gemeinsamen Zugriff mehrerer Stellen auf einen gemeinsamen Datenbestand mit personenbezogenen Daten müssen die Individual- und Gruppenrechte exakt spezifiziert sein.
• Verantwortliche Stelle für die einzelnen Daten ist jeweils die Organisationseinheit oder Person, der die Pflege der Daten obliegt.
W. Kruth 2001 15
Datenschutz
• Datenschutz ist insgesamt eine Aufgabe des Unternehmens, die in der Binnenorganisation auf die verantwortlichen Stellen im Wege der Aufgaben- und Zuständigkeitsverteilung übertragen wird.
W. Kruth 2001 16
Datensicherung
• Datensicherung als Normbegriff der Rechtsordnung ist die Summe aller technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes.
• Die Maßnahmen müssen in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen.
W. Kruth 2001 17
Datensicherung
• Datensicherung als technischer Begriff ist die Summe aller planenden, steuernden, verarbeitenden und kontrollierenden Maßnahmen zur Gewährleistung der Sicherheitsziele– Verfügbarkeit– Integrität
der informationstechnischen Infrastruktur.
W. Kruth 2001 18
Datensicherung
• Datensicherung als antiquierter Begriff beschränkt sich auf alle Maßnahmen zur Kopieerstellung von Datenbeständen mit dem Ziel der Rekonstruktion bei Verlust der Verfügbarkeit und / oder der Integrität.
W. Kruth 2001 19
Datensicherung
• Datensicherung zur Gewährleistung der Verfügbarkeit und Integrität der informationstechnischen Infrastruktur ist im weiteren Sinne auch Voraussetzung für die Erzielung einer Gesamtsicherheit, die alle Komponenten der IT-Infrastruktur erfasst, die für die betrieblichen Wertschöpfungsprozesse relevant sind.
W. Kruth 2001 20
Datensicherung
• Das Interesse eines Unternehmens und seiner Leistungseinheiten ist primär auf die Sicherstellung der kontinuierlichen Bedürfnisbefriedigung und der Gewinnmaximierung ausgerichtet.
• Das Interesse des Einzelnen fokussiert primär auf den Schutz seiner personenbezogenen Daten vor Missbrauch.
W. Kruth 2001 21
IT-Sicherheit
• Ein IT-System stellt die Zusammenfassung von– Objekten,– Subjekten,– möglichen Aktionen und– Umfeldbedingungen
dar.
W. Kruth 2001 22
IT-Sicherheit
• Objekte eines IT-Systems sind alle aktiven und passiven Komponenten der– Hardware und Softwareund die– gespeicherten Daten.
• Als IT-System im weiteren Sinne wird auch die informationstechnische Infrastruktur bezeichnet.
W. Kruth 2001 23
IT-Sicherheit
• Diese Objekte werden einzeln, in ihrer Ordnung nach Gruppen oder als Gesamtobjekte eines IT-Systems als „schutzwürdige Objekte“ bezeichnet.
• Für jedes Objekt muss geregelt sein, welche Subjekte und welchen Voraussetzungen den Zugang und den Zugriff erhalten.
W. Kruth 2001 24
IT-Sicherheit
• Als Zugangsverfahren wird das Anmeldeverfahren von Subjekten zu IT-Systemen oder einzelnen Objekten bezeichnet.
• Im Zugangsverfahren wird die Berechtigung von natürlichen oder technischen Subjekten durch technische oder logische Verfahren zur Identifizierung und / oder Authentifizierung überprüft.
W. Kruth 2001 25
IT-Sicherheit
• Zugriff ist die Ausführung von lesenden, schreibenden oder steuernden Aktionen auf definierte Objekte eines IT-Systems.
• Die Zugriffskontrolle erfolgt auf logischer Ebene nach ordnungsgemäßer Zugangskontrolle mittels Verfahren zur Identifizierung und / oder Authentifizierung von Zugriffsrechten.
W. Kruth 2001 26
IT-Sicherheit
• Ein Subjekt darf demnach nur auf ein Objekt zugreifen, wenn dies in seiner Zuständigkeit liegt (Need-to-Know-Prinzip).
W. Kruth 2001 27
IT-Sicherheit
• Subjekte eines IT-Systems sind zunächst– der oder die Betreiber,– der oder die Anwender und– der oder die Benutzer.
• Der Zugang zu IT-Systemen und der Zugriff auf einzelne Objekte erfordert eine Identifikation oder Authentifizierung der Subjekte.
W. Kruth 2001 28
IT-Sicherheit
• Subjekte können aber auch technische Kommunikationselemente sein, die mittels selbststeuernder Aktionen eine Connection zu fremden Systemen mit dem Ziel des Zugriffs auf fremde Objekte aufbauen, nutzen und wieder abbauen.
W. Kruth 2001 29
IT-Sicherheit
• Aktionen können passiv oder aktiv sein.
• Zu unterscheiden ist zwischen objektsteuernden und objektnutzenden Aktionen; eine begriffliche Differenzierung erfolgt auf Softwareebene durch die Abgrenzung der Systemsoftware von der Anwendungssoftware.
W. Kruth 2001 30
IT-Sicherheit
• Das Umfeld eines IT-Systems wird primär durch– räumliche
– versorgungstechnische und
– klimatechnische
Konstrukte am Standort beschrieben.
• Für vernetzte Systeme definiert sich ein sekundäres Umfeld durch die Netztopologie und die Kommunikationsarchitektur.
W. Kruth 2001 31
IT-Sicherheit
• IT-Sicherheit kann zunächst durch Ausschluss definiert werden.
• Danach gilt ein IT-System als sicher, wenn in der Realität keine Bedrohungen auftreten, die die Sicherheit des Gesamtsystems oder einzelner Objekte beeinträchtigen.
W. Kruth 2001 32
IT-Sicherheit
• Die Ausschluss-Definition bietet keinen pragmatischen Ansatz. Sie hat nur theoretischen Charakter.
• Die induktive Definition der Sicherheit geht dagegen davon aus, dass unter den bekannten oder vermuteten Aktionen Manipulationen möglich sind, die nach Art und Auswirkung erfassbar sind.
W. Kruth 2001 33
IT-Sicherheit
• Induktive Definition der Sicherheit:– Ein System muss nach Abschluss der
Installation oder zu einem anderen definierten Zeitpunkt als sicher angenommen werden.
– Ein System ist so lange als sicher anzusehen, wie kein Subjekt Aktionen ausführen kann, die die Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit der Objekte beeinträchtigen.
W. Kruth 2001 34
IT-Sicherheit
• Eine weitere Definition folgt dem pragmatischen Ansatz:– Ein System ist dann sicher, wenn es geeignet
ist, durch eigene oder additive Maßnahmen die zur Gewährleistung der Sicherheitsziele festgelegten Anforderungen in der Praxis zum Abschluss der Installation oder zu einem Zeitpunkt zu erkennen.
W. Kruth 2001 35
IT-Sicherheit
• Das Gesamtziel der IT-Sicherheit differenziert sich in Teilzielen:– Gewährleistung der Vertraulichkeit– Gewährleistung der Verfügbarkeit– Gewährleistung der Integrität– Gewährleistung der Verbindlichkeit
W. Kruth 2001 36
IT-Sicherheit
• Gewährleistung der Vertraulichkeit:– Schutz der Objekte vor unautorisiertem Zugriff
von nicht berechtigten Subjekten– Jeder Zugriff, der nicht durch eine klare
Regelvorschrift ausdrücklich zugelassen ist, muss verweigert werden
W. Kruth 2001 37
IT-Sicherheit
• Gewährleistung der Verfügbarkeit:– Schutz vor der Zerstörung oder dem Diebstahl
von Objekten– Schutz vor Beeinträchtigungen der
ordnungsgemäßen Aktionssteuerung und –ausführung durch Umfeld-, Software-, Hardware- oder Anwender-Versagen
W. Kruth 2001 38
IT-Sicherheit
• Gewährleistung der Integrität:– Schutz vor Beeinträchtigung von Funktionen
technischer Komponenten, der formalen oder materiellen Struktur von Daten durch Manipulationen mittels unzulässiger Aktionen
W. Kruth 2001 39
IT-Sicherheit
• Gewährleistung der Verbindlichkeit:– Schutz vor der Verfälschung der Identität von
Absendern und Empfängern– Schutz von Transportsystemen und logischen
Kommunikationsverbindungen gegen Manipulation der Transaktionen
W. Kruth 2001 40
Sicherheitspolitik
• Die Sicherheitspolitik (IT Security Policy) legt fest,– welche Schutzwürdigkeit die Objekte besitzen,
– gegen welche Bedrohungen die schutzwürdigen Objekte zu schützen sind,
– welche Grundsätze und Regeln in puncto Sicherheit im Sicherheits-System gelten sollen und
– welches Restrisiko der Betreiber akzeptieren kann.
W. Kruth 2001 41
Sicherheitspolitik
• Die Schutzwürdigkeit der Objekte wird aus der Empfindlichkeit (Sensitivität) der Daten abgeleitet.
• Daten sind dann sensitiv, wenn sie für natürliche Personen und / oder das Unternehmen einen gewissen Wert besitzen.
W. Kruth 2001 42
Sicherheitspolitik
• Der Wert eines Datums ist allerdings keine absolute Größe, sondern er wird im Kontext der ideellen Einschätzung einer natürlichen Person und / oder finanziellen Aspekten bei betrieblicher Werteinschätzung ermittelt.
W. Kruth 2001 43
Sicherheitspolitik
• Eine Bedrohung ist jede Beeinträchtigung des angestrebten Zustandes der IT-Sicherheit durch ungesteuerte bzw. ungeplante oder gesteuerte bzw. geplante Aktion eines Subjektes oder Objektes, die außerhalb der zweckbestimmten betrieblichen Nutzung des bedrohten Objektes erfolgt.
W. Kruth 2001 44
Sicherheitspolitik
• Bedrohungen können nach unterschiedlichen Merkmalen klassifiziert werden:– nach Eintrittswahrscheinlichkeit– nach dem Ort der Entstehung– nach Aktionsebenen– nach allgemeinen und speziellen Bedrohungen
W. Kruth 2001 45
Sicherheitspolitik
• Das Sicherheitssystem wird durch ein Regelwerk beschrieben, in dem die technischen und organisatorischen Maßnahmen – nach Art, Objektbezug, vermuteter oder bekannter
Wirkung,– die Kompetenzen und Verantwortlichkeiten für die
Standardisierung und Fortentwicklung des Regelwerks und die
– Kontrollmechanismen zur Überprüfung des Sicherheitssystems
dokumentiert sind.
W. Kruth 2001 46
Sicherheitspolitik
• Das Restrisiko ist möglichst exakt zu beschreiben, um eine Worst Case-Planung für nicht beherrschbare Bedrohungen zu ermöglichen.
• Extremfall der Worst Case-Planung ist der Totalausfall der IT-Infrastruktur, der durch Vorsorgemaßnahmen kompensiert werden muss.
W. Kruth 2001 47
Sicherheitspolitik
• Sicherheitspolitik muss akzeptiert und durchsetzbar sein. Dazu bedarf es verschiedener Handlungen:– Sicherheitspolitik als Bestandteil der
Unternehmenspolitik– IT-Sicherheit als Unternehmensziel– Strategische und operative Management-
Entscheidungen im Planungs- und Realisierungsprozess
W. Kruth 2001 48
Sicherheitspolitik
• Unternehmenspolitik beschreibt die sozialen, wirtschaftlichen und gesellschaftlichen Ambitionen des Unternehmens im Kontext zu seiner Umwelt.
• Die unternehmenspolitische Standortbestimmung basiert auf der Kontinuität der Wertschöpfung und Gewinnerzielung.
• Die Sicherheitspolitik ist essentielle Voraussetzung für die Bestands- und Erfolgssicherung.
W. Kruth 2001 49
Sicherheitspolitik
• IT-Sicherheit als Unternehmensziel ist eine verbindliche Zielvorgabe für das Management.
• IT-Sicherheit als Unternehmensziel führt aus der Abstraktion der Sicherheitspolitik in eine konkrete Management-Aufgabe.
W. Kruth 2001 50
Sicherheitspolitik
• Das Management auf allen Führungsebenen ist Top Down-methodisch für die Belange der Sicherheitspolitik und die Herstellung des Regelwerks im IT-Sicherheitssystem zu sensibilisieren.
• Die Akzeptanz und Unterstützung des Managements sind notwendige Voraussetzung für aktives Mitwirken der Beschäftigten im Sinne von Corporate Identity.
W. Kruth 2001 51
Modul 2
Durchführung einer Bedrohungs-, Risiko- und Schadensanalyse
W. Kruth 2001 52
Zielsetzungen
• Aufgabe der Bedrohungsanalyse ist es, die realen Bedrohungen, denen die sensitiven Objekte in einem konkreten oder geplanten IT-System ausgesetzt sind, zu analysieren und zu dokumentieren.
• Reale Bedrohungen sind immer zurückzuführen auf Schwachstellen des IT-Systems und / oder des organisatorisch-technischen Umfeldes.
W. Kruth 2001 53
Zielsetzungen
• Aufgabe der Risikoanalyse ist es, die Wahrscheinlichkeit für das Eintreten einer möglichen Bedrohung innerhalb eines festgelegten Zeitraums zu bestimmen.
W. Kruth 2001 54
Zielsetzungen
• Die Wahrscheinlichkeiten sind abhängig – vom Wert der sensitiven Objekte, – den Schutzeigenschaften des IT-Systems,– den für den direkten oder indirekten Angriff auf
die Integrität usw. erforderlichen Kenntnissen und deren Verbreitungen,
– den Aufwand zum Ausnutzen der Schwachstellen (Ressourcen des Angreifers).
W. Kruth 2001 55
Zielsetzungen
• In der Realität wird vielfach eine Wahrscheinlichkeit nicht numerisch präzise angegeben werden können.
• In diesen Fällen muss man sich auf Schätzwerte, die die vermutete Häufigkeit beschreiben, abstützen.
W. Kruth 2001 56
Zielsetzungen
• Die Schadensanalyse bestimmt den Schaden, der durch eine erfolgreiche Manipulation integrer Daten und Systemfunktionen oder andere Angriffe entsteht.
• Der potentielle materielle und / oder ideelle Schaden bestimmt sich aus dem Produkt von Wahrscheinlichkeit bzw. relativer Häufigkeit und Schadenswirkung.
W. Kruth 2001 57
Vorbereitungen
• Die methodische Vorbereitung der Analyse erfolgt in mehreren Schritten:– Bestandsaufnahme
– Abhängigkeitsanalyse
– Ermittlung der Schutzbedürftigkeit der Objekte
• Die Exaktheit und Vollständigkeit der vorbereitenden Maßnahmen ist essentielle Voraussetzung für ein effizientes Sicherheitssystem.
W. Kruth 2001 58
Vorbereitungen
• Die Bestandsaufnahme ist eine einfache Erhebungstechnik, die ohne besondere Kenntnisse angewendet werden kann.
• Durch die Bestandsaufnahme wird ein vollständiges Bild der Aufgaben- und Organisationsstruktur des infrage kommenden Unternehmensbereiches gewonnen.
W. Kruth 2001 59
Vorbereitungen
• Objekte der Bestandsaufnahme sind– vollständige und aktuelle Organigramme des
Untersuchungsbereiches– Prozess-Struktur des Untersuchungsbereiches
mit Abgrenzung der betrieblichen Kernprozesse in der Wertschöpfungskette gegenüber Sekundärprozessen
– Ermittlung des Automationsgrades der Kernprozesse
W. Kruth 2001 60
Vorbereitungen
• Weitere Objekte sind– Auflistung der freigegebenen und eingesetzten
Anwendungen (IT-Verfahren) mit Zuordnung zu den unterstützten dispositiven und operativen Prozessen
– Dokumentation der IT-Infrastruktur mit Beschreibung der Netzarchitektur und der netzadaptierten IT-Systeme
W. Kruth 2001 61
Vorbereitungen
• Die Bestandsaufnahme liefert erste Erkenntnisse über– den Durchdringungsgrad des Unternehmens mit
Informationstechnik und die damit bewirkte Abhängigkeit von der Verfügbarkeit, Integrität und Vertraulichkeit der schutzwürdigen Objekte,
– die Einstellung der Anwender und Benutzer gegenüber dem sekundären Arbeitsträger.
W. Kruth 2001 62
Vorbereitungen
• Bereits in der Phase der Bestandsaufnahme ist die aktive Beteiligung der Anwender und Benutzer erforderlich, um vollständige und richtige Informationen zu erhalten.
• Voraussetzung für eine offene und konstruktive Mitarbeit ist die Transparenz der vorbereitenden Maßnahmen. Damit wird auch ein erster Schritt in Richtung Sensibilisierung für eine Sicherheitspolitik getan.
W. Kruth 2001 63
Vorbereitungen
• Im zweiten Schritt der vorbereitenden Maßnahmen wird eine Abhängigkeitsanalyse durchgeführt.
• Für die Informationsgewinnung werden herkömmliche Befragungstechniken eingesetzt.
W. Kruth 2001 64
Vorbereitungen
• Im Rahmen der Abhängigkeitsanalyse werden die unternehmensspezifischen Anforderungen an die Sicherheit des IT-Einsatzes ermittelt.
• Bestimmend für den Analyseerfolg ist die konsequente Beachtung des Sach- und Formalzielbezogenen Grundansatzes der Organisationsgestaltung.
W. Kruth 2001 65
Vorbereitungen
• In der Abhängigkeitsanalyse werden folgende Ebenen betrachtet:– Ablauforganisation mit Untersuchung der
Schnittstellen zwischen einzelnen Organisations- und Funktionseinheiten und deren IT-Unterstützung
W. Kruth 2001 66
Vorbereitungen
– Ebene der Anwendungen: Analyse der Schnittstellen in integrierten Anwendungssystemen, der Schnittstellen gegenüber dem Anwender (User Interface) und gegenüber den Produktionsplattformen
– Ebene der IT-Infrastruktur: Topologische Strukturen, Domänen-Konzepte, aufgesetzte Kommunikationsdienste, Architektur der Transportsysteme und ihrer Schnittstellen
W. Kruth 2001 67
Vorbereitungen
• Das Modell der Abhängigkeitsanalyse zielt auf eine verlässliche und vor allem vollständige Untersuchung der Verfügbarkeit und Verlässlichkeit von Anwendungen und Daten.
W. Kruth 2001 68
Vorbereitungen
• Die Abhängigkeitsanalyse wird zweckmäßigerweise ergänzt durch Diskussion folgender Themen:– Management der Rechteverwaltung– Zutritts-, Zugangs- und Zugriffsüberwachung– Status, Rollen und Kompetenzen der Anwender
und Benutzer– Status, Rollen und Kompetenzen der System-,
Netz-, Datenbank- und Internet-Administration
W. Kruth 2001 69
Vorbereitungen
• Das Management der Rechteverwaltung legt die Regeln und Kontrollverfahren für die – Kompetenzen zur Vergabe, Änderung,
Sperrung und Löschung von Zugangs- und Zugriffsrechten,
– Vererbbarkeit von Gruppen- und Individualrechten
fest.
W. Kruth 2001 70
Vorbereitungen
• Die Zutritts-, Zugangs- und Zugriffsüberwachung ist nicht nur auf Prüfungen zur Identifizierung oder Authentifizierung von Subjekten begrenzt, er erfasst auch den Einsatz kryptografischer Verfahren für gesicherte Transaktionen im Zugriffsverfahren.
W. Kruth 2001 71
Vorbereitungen
• Status, Rollen und Kompetenzen der Anwender und Benutzer müssen eindeutig bestimmt sein, insbesondere unter dem Aspekt der auf PC-Ebene verfügbaren Entwicklungsmöglichkeiten mit sog. Endbenutzerwerkzeugen (Front-end-User-Tools).
W. Kruth 2001 72
Vorbereitungen
• Weitere Kriterien der klaren Regelungen von Zuständigkeiten und Kompetenzen sind die Anforderungen an die – verantwortliche Stelle i.S. der
Datenschutzgesetze,– Ordnungsmäßigkeit der betrieblichen
Datenverarbeitung und– Zweckbindung des IT-Einsatzes.
W. Kruth 2001 73
Vorbereitungen
• Die einzelne Organisations- bzw. Leistungseinheit im Unternehmen muss sich ihrer Verantwortung bewusst werden und Datenschutz sowie IT-Sicherheit als integralen Bestandteil des betrieblichen Handelns betrachten.
• Fehlt diese Erkenntnis und die Bereitschaft hierzu, wird IT-Sicherheit nicht Realität.
W. Kruth 2001 74
Vorbereitungen
• Der Handlungs- und Verantwortungsbereich der Administration in ihren verschiedenen Disziplinen muss ebenfalls eindeutig und redundanzfrei bestimmt sein, um Betriebsstörungen durch Fehlaktionen zu vermeiden.
• Die Verfügbarkeit der IT-Systeme ist primär vom Verantwortungsbewusstsein der Administration abhängig. Hierfür müssen die notwendigen Vorgaben und Kontrollmechanismen existieren.
W. Kruth 2001 75
Schutzbedarfsfeststellung
• Die Schutzbedarfsfeststellung ordnet die automatisierten Verfahren (Anwendungen) im Kontext zur Wertstellung der Aufgabe einer Schutzbedarfs-Kategorie zu.
• Die Kategorisierung folgt dem Grundschutz-Gedanken des BSI.
W. Kruth 2001 76
Schutzbedarfsfeststellung
• Für Anwendungen mit einem niedrigen bis mittleren Schutzbedarf bietet der Grundschutz als umfassendes Bündel von technischen und organisatorischen Maßnahmen einen Werkzeugkasten zur Herstellung einer Basis-Sicherheit, die für alle IT-Systeme und ihr Umfeld gleichermaßen wirksam wird.
W. Kruth 2001 77
Schutzbedarfsfeststellung
• Anwendungen mit einem hohen oder maximalen Schutzbedarf erfordern über den Grundschutz hinaus die Konzeption und Realisierung von individuellen Sicherheitsfunktionen und –mechanismen, die auf der Basis von detaillierten Bedrohungs-, Risiko- und Schadensanalysen definiert werden.
W. Kruth 2001 78
Schutzbedarfsfeststellung
• Sicherheitssysteme, bestehend aus Grundschutz und additiven Sicherheitsfunktionen und –mechanismen, erfüllen nur dann ihren Zweck kontinuierlich und zuverlässig, wenn bestimmte Gestaltungsregeln beachtet werden.
W. Kruth 2001 79
Schutzbedarfsfeststellung
• Gestaltungsregeln sind u.a.– Zu viele Maßnahmen erfordern einen hohen
Koordinierungsaufwand,– Zu viele Maßnahmen führen zu abnehmenden
Grenznutzen,– Fehlende oder zu schwache Maßnahmen
erfüllen nicht das obliegende Sicherheitssoll.
W. Kruth 2001 80
Schutzbedarfsfeststellung
• Maximale Sicherheitsklasse:– Schutz vertraulicher Informationen muss gewährleistet
sein und in sicherheitskritischen Bereichen strengen Kontrollen genügen.
– Informationen müssen in höchstem Maße korrekt sein.
– Knappe Reaktionszeiten für kritische Entscheidungen fordern ständige Präsenz aktueller Informationen.
– Ausfallzeiten sind nicht akzeptabel.
W. Kruth 2001 81
Schutzbedarfsfeststellung
• Leitsatz der maximalen Sicherheitsklasse:– Die zeitweilige Nichtverfügbarkeit der Daten
führt zu einem Zusammenbruch des Unternehmens oder hat schwerwiegende Folgen für die wirtschaftliche Situation des Unternehmens.
W. Kruth 2001 82
Schutzbedarfsfeststellung
• Hohe Sicherheitsklasse:– Schutz vertraulicher Informationen muss hohen
gesetzlichen oder betrieblichen Anforderungen genügen und in sicherheitskritischen Bereichen stärker kontrolliert sein.
– Informationen müssen korrekt sein, auftretende Fehler erkennbar und vermeidbar sein.
– Es handelt sich um zeitkritische Verarbeitungen, die ohne IT-Unterstützung nicht durchgeführt werden können; es können nur kurze Ausfallzeiten toleriert werden.
W. Kruth 2001 83
Schutzbedarfsfeststellung
• Leitsatz der hohen Sicherheitsklasse:– Im Schadensfall tritt Handlungsunfähigkeit
zentraler Bereiche des Unternehmens ein; Schäden haben erhebliche Beeinträchtigung der Unternehmung selbst oder betroffener Dritter zur Folge.
W. Kruth 2001 84
Schutzbedarfsfeststellung
• Mittlere Sicherheitsklasse:– Schutz von Informationen, die nur für den internen
Gebrauch bestimmt sind, muss gewährleistet sein.
– Kleinere Fehler können toleriert werden; Fehler, die die Aufgabenerfüllung erheblich beeinträchtigen, müssen jedoch erkenn- oder vermeidbar sein.
– Längere Ausfallzeiten, die zu Terminüberschreitungen führen, sind nicht zu tolerieren.
W. Kruth 2001 85
Schutzbedarfsfeststellung
• Leitsatz der mittleren Sicherheitsklasse:– Schäden haben Beeinträchtigungen der
Unternehmung mit Binnen- und / oder Externwirkung zur Folge.
W. Kruth 2001 86
Schutzbedarfsfeststellung
• Niedrige Sicherheitsklasse:– Vertraulichkeit von Informationen ist nicht
gefordert.– Fehler können toleriert werden, solange sie die
Erledigung der Aufgaben nicht völlig unmöglich machen.
– Dauernder Ausfall ist zu vermeiden, längere Ausfallzeiten sind jedoch hinnehmbar.
W. Kruth 2001 87
Schutzbedarfsfeststellung
• Leitsatz der niedrigen Sicherheitsklasse:– Schäden haben nur eine unwesentliche
Beeinträchtigung der Unternehmung zur Folge.
W. Kruth 2001 88
Sicherheitsziele
• Die Schutzbedarfsfeststellung muss in Kongruenz zu den Sicherheitszielen des Unternehmens erfolgen.
W. Kruth 2001 89
Sicherheitsziele
• Wesentliche Sicherheitsziele:– Hohe Verlässlichkeit des Handelns, besonders in
puncto Rechtzeitigkeit, Richtigkeit und Vertraulichkeit.
– Gewährleistung des positiven Ansehens des Unternehmens.
– Erhaltung der in Technik, Informationen, Arbeitsprozessen und Wissen investierten Werte.
– Sicherung der hohen, möglicherweise unwiederbringlichen Werte der gespeicherten Informationen.
W. Kruth 2001 90
Sicherheitsziele
– Sicherung der Informationsqualität.– Gewährleistung der aus gesetzlichen Vorgaben
resultierenden Anforderungen.– Reduzierung der im Schadensfall entstehenden
Kosten.– Sicherstellung der Kontinuität der
Arbeitsabläufe innerhalb der Organisation.
W. Kruth 2001 91
Bedrohungsanalyse
• Bei der Bedrohungsanalyse muss zunächst Klarheit darüber bestehen, welche potentiellen Bedrohungen existieren, und unter welchen Bedingungen sie auftreten können.
• Im zweiten Schritt wird die angestrebte Sicherheit als Soll-Barriere in einen Direktvergleich mit den erkannten oder vermuteten Bedrohungen gestellt; die Eintrittswahrscheinlichkeit ist dabei zunächst ohne Bedeutung.
W. Kruth 2001 92
Bedrohungsanalyse
• Bedrohungen können auftreten durch– Verstoß gegen Gesetze, Vorschriften, Verträge,
insbesondere durch fahrlässiges oder vorsätzliches Handeln von Innen- und Außenstörern
– Beeinträchtigung der Aufgabenerfüllung– negative Außenwirkung– finanzielle Außenwirkung
W. Kruth 2001 93
Bedrohungsanalyse
• Verstöße gegen Gesetze, Vorschriften und Verträge sind im Kontext folgender Fragen zu bewerten:– Erfordern gesetzliche Auflagen die
Vertraulichkeit und / oder Integrität der Daten?– Sind Verträge einzuhalten, die die Wahrung der
Vertraulichkeit bestimmter Informationen beinhalten?
– Gibt es zwingend einzuhaltende Termine?
W. Kruth 2001 94
Bedrohungsanalyse
• Bei Beeinträchtigung der Aufgabenerfüllung richtet sich die Schwere des Schadens nach der zeitlichen Dauer der Beeinträchtigung und nach dem Umfang der Einschränkungen der angebotenen Dienstleistungen.
W. Kruth 2001 95
Bedrohungsanalyse
• In diesem Bedrohungssegment stellen sich u.a. Fragen nach– Daten, deren Vertraulichkeit die Grundlage für die
Aufgabenerfüllung ist.
– Datenmanipulationen, die die Aufgabenerfüllung derart einschränken, dass das Unternehmen oder der Betrieb handlungsunfähig wird.
– den Möglichkeiten zur Früherkennung von manipulierten Zuständen.
W. Kruth 2001 96
Bedrohungsanalyse
• Die negative Außenwirkung durch reale Beeinträchtigungen der Sicherheitsziele oder durch publizierte Gefahrenabwehr im Einzel- oder Wiederholungsfall führt zu Ansehens- oder Vertrauensverlust des Unternehmens oder Betriebes mit entsprechenden Drittwirkungen auf Geschäftsbeziehungen.
W. Kruth 2001 97
Bedrohungsanalyse
• Bei der Ermittlung der Wirkungsgrößen sind u.a. folgende Fragen zu beantworten:– Welche Konsequenzen ergeben sich für das
Unternehmen oder den Betrieb durch unerlaubte Veröffentlichung sensitiver Daten?
– Welche Schäden können sich durch die Verarbeitung, Verbreitung oder Übermittlung falscher oder unvollständiger Daten ergeben?
W. Kruth 2001 98
Bedrohungsanalyse
• Unmittelbare oder mittelbare finanzielle Schäden können durch den Verlust der Vertraulichkeit schutzwürdiger Daten, die unerlaubte Veränderung von Daten oder den Ausfall von sog. Kernkomponenten der Hardware und / oder Software entstehen.
W. Kruth 2001 99
Bedrohungsanalyse
• Die Höhe des Gesamtschadens setzt sich zusammen aus den direkt und indirekt entstehenden Kosten zur Analyse und Beseitigung von Sach- und Vermögensschäden.
W. Kruth 2001 100
Bedrohungsanalyse
• Fragen zur Ermittlung denkbarer Bedrohungen und der durch sie ausgelösten Folgewirkungen sind u.a.– Können durch Datenmanipulationen finanzwirksame
Daten so verändert werden, dass finanzielle Schäden entstehen?
– Können verfälschte Daten zu verfälschten Geschäftsergebnissen führen?
– Wie hoch sind die Kosten zur Wiederherstellung eines konsistenten Systemzustandes nach einem Störfall?
W. Kruth 2001 101
Bedrohungsanalyse
• Bedrohungen können nach ihrer Art unterteilt werden in– systemneutrale Bedrohungen, die unabhängig von
Architektur, Funktionalität und Schnittstellenbeziehungen der Objekte eintreten können,
– systemspezifische Bedrohungen, die nur in einer bestimmten Umgebung mit definierten Funktionen, Diensten oder anderen Merkmalen auftreten,
– schichtenspezifische Bedrohungen, die innerhalb der Präsentationsschicht, Anwendungsschicht, Datenbank- oder Kommunikationsschicht auftreten.
W. Kruth 2001 102
Bedrohungsanalyse
• Eine weitere Klassifizierung kann nach Verursachern erfolgen:– Höhere Gewalt– Organisatorische Mängel– Menschliche Fehlhandlungen– Technisches Versagen– Vorsätzliche Handlungen
W. Kruth 2001 103
Bedrohungsanalyse
• Eine dritte Variante ist die Ermittlung der Bedrohungen im Objektkontext (BSI-Ansatz):– Clients– Server und Netze– Kommunikationsdienste
W. Kruth 2001 104
Bedrohungsanalyse
• Alle Klassifizierungsverfahren weisen Mängel und Stärken auf, die in idealer Weise durch eine Kombination verschiedener Verfahren, die die Schwächen vermeidet und die unterschiedlichen Stärken addiert, kompensiert werden.
W. Kruth 2001 105
Risiko- und Schadensanalyse
• Bei der Schutzbedarfsfeststellung der Objekte ergibt sich als Zusatzprodukt der Schadenswert für die Objekte aus dem Wert der IT-Anwendung und / oder der zu verarbeitenden Informationen.
W. Kruth 2001 106
Risiko- und Schadensanalyse
• Der Schadenswert bemisst sich nach der Zuordnung zu einer Schadensstufe:– unbedeutender Schaden– geringer Schaden– mittlerer Schaden– großer Schaden– katastrophaler Schaden
W. Kruth 2001 107
Risiko- und Schadensanalyse
• Die Zuordnung zu einer Schadensstufe erfolgt in Abhängigkeit von der Ausprägung der Parameter– Verstoß gegen Gesetze, Regelwerke, Verträge
– Beeinträchtigung der Aufgabenerfüllung
– Außenwirkung
– Innenwirkung
– finanzielle Auswirkung
– Sensivitätsgrad der Informationen
– Dauer der Verzichtbarkeit
W. Kruth 2001 108
Risiko- und Schadensanalyse
• Für Bedrohungen, deren Schadenswert als sehr hoch oder katastrophal eingestuft wird, relativiert sich die Bedeutung der Eintrittshäufigkeit, da i.d.R. die Schadensauswirkung die Auswahl geeigneter Maßnahmen für die Herstellung der erforderlichen Sicherheit hinreichend begründet.
W. Kruth 2001 109
Risiko- und Schadensanalyse
• Für hohe Schäden ist eine grobe Abschätzung der Wahrscheinlichkeit eines Schadenseintritts nach den Merkmalen– unwahrscheinlich.– wenig wahrscheinlich oder– wahrscheinlich
durchzuführen.
W. Kruth 2001 110
Risiko- und Schadensanalyse
• In Abhängigkeit von der Bewertung der Eintrittswahrscheinlichkeit kann eine Risiko-Differenzierung erfolgen:– sehr hohes Risiko– hohes Risiko– mittleres Risiko– tragbares Risiko
W. Kruth 2001 111
Trends und Tendenzen
• Die kurzen Innovationszyklen in der Informationstechnologie und die rasant wachsenden Ressourcen von Angreifern innerhalb und außerhalb der fokussierten Organisation erfordern eine ständige Anpassung des Sicherheitssystems.
W. Kruth 2001 112
Trends und Tendenzen
• Die in vielen Bereichen praktizierte Methode des „Angreifermodells“, in dem entweder in realistischen Szenarien oder durch reale Attacken im Unternehmensauftrag die Wirksamkeit von Sicherheitsmaßnahmen erprobt wird, bietet optimale Analysemöglichkeiten in hochkritischen Situationen.
W. Kruth 2001 113
Trends und Tendenzen
• Die Fortentwicklung muss insbesondere die „E“-Technologien berücksichtigen, da es sich hier noch um ein weitgehend ungeregeltes Systemfeld mit erheblichen Schwächen der eingesetzten Basistechnologien und der Kommunikationsdienste handelt.
W. Kruth 2001 114
Modul 3
Datenschutz- und Datensicherungskonzept
W. Kruth 2001 115
IT-Sicherheitsmanagement
• Voraussetzung für die sinnvolle Umsetzung und Kontrolle von IT-Sicherheitsmaßnahmen ist ein geplanter und gesteuerter IT-Sicherheitsprozess. Diese Planungs- und Lenkungsaufgabe wird als IT-Sicherheitsmanagement bezeichnet.
• Das IT-Sicherheitsmanagement umfasst mehrere Maßnahmenbündel, die insgesamt das Konstrukt bilden.
W. Kruth 2001 116
IT-Sicherheitsmanagement
• Die Etablierung des IT-Sicherheitsprozesses und die konsequente Realisierung in mehreren Schritten steht am Anfang der Maßnahmen.
• Der IT-Sicherheitsprozess folgt dem Prinzip der Integration in die Gesamtplanung und Fortentwicklung des Unternehmens, insbesondere in der IT-Ausstattung.
W. Kruth 2001 117
IT-Sicherheitsmanagement
• Ein IT-Sicherheitsprozess wird in folgenden Schritten etabliert:– Erstellung einer IT-Sicherheitsrichtlinie,
– Auswahl und Etablierung einer geeigneten Organisationsstruktur für IT-Sicherheit
– Vorbereitende Maßnahmen für die Erstellung eines Sicherheitskonzeptes
– Erstellung und Umsetzung des Sicherheitskonzeptes,
– Sicherheit im laufenden Betrieb.
W. Kruth 2001 118
IT-Sicherheitsmanagement
• Eine IT-Sicherheitsleitlinie wird in folgenden Schritten erstellt:– Verantwortung der Unternehmensleitung für
die IT-Sicherheitslinie,– Konstituierung eines Entwicklungsteams für
die IT-Sicherheitsleitlinie,– Bestimmung der IT-Sicherheitsziele,– Aufbau und Bekanntgabe.
W. Kruth 2001 119
IT-Sicherheitsmanagement
• Mindestinformationen in der IT-Sicherheitsrichtlinie sind u.a.– Stellenwert der IT-Sicherheit und Bedeutung
der IT für die Aufgabenerfüllung,– Sicherheitsziele und –strategien für die
eingesetzte IT,– Zusicherung, dass die IT-Sicherheitslinie von
der Unternehmensleitung durchgesetzt wird.
W. Kruth 2001 120
IT-Sicherheitsmanagement
• Für den Aufbau der Organisationsstruktur für die IT-Sicherheit existieren ebenfalls keine verlässlichen Regeln, da Größe, Beschaffenheit und Struktur der jeweiligen Organisation hier die Gestaltungsregeln und Rahmenbedingungen bestimmen.
W. Kruth 2001 121
IT-Sicherheitsmanagement
• Als zentrale Rollen in der Organisationsstruktur der IT-Sicherheit sind auf jeden Fall– der IT-Sicherheitsbeauftragte und– in größeren Unternehmen Das IT-
Sicherheitsmanagement-Team
zu definieren.
W. Kruth 2001 122
IT-Sicherheitsmanagement
• Der IT-Sicherheitsbeauftragte ist für alle Sicherheitsfragen des Unternehmens zuständig; sein Interesse gilt der Betriebssicherheit, er dient dem Unternehmen.
• Der Datenschutzbeauftragte dient dem Unternehmen und den Betroffenen, sein Interesse gilt der IT-Sicherheit nur in dem durch die Speicherung, Verarbeitung und Übermittlung personenbezogener Daten bestimmten Umfang.
W. Kruth 2001 123
IT-Sicherheitsmanagement
• Die vorbereitenden Maßnahmen zur Bestandsaufnahme, Abhängigkeitsanalyse und Schutzbedarfsfeststellung bilden die Plattform für die inhaltliche Strukturierung, Umsetzung und Kontrolle des IT-Sicherheitskonzeptes.
W. Kruth 2001 124
IT-Sicherheitsmanagement
• Die inhaltliche Strukturierung, Umsetzung und Kontrolle des IT-Sicherheitskonzeptes sind die zentralen Maßnahmen im Sicherheitsmanagement.
• Im IT-Sicherheitskonzept werden– die Methodik der Bereitstellung,
– die Ergebnisse aus den einzelnen Arbeitsschritten und
– die erkannten oder vermuteten Wirkungsgrößen von Maßnahmen
dokumentiert.
W. Kruth 2001 125
IT-Sicherheitsmanagement
• Das angestrebte IT-Sicherheitsniveau soll dauerhaft gewährleistet werden. Hierzu bedarf es einer– IT-Sicherheitsrevision,– regelmäßigen Aktualisierungsüberprüfungen
und– der Erstellung von Management-Reports zur
IT-Sicherheit.
W. Kruth 2001 126
Integrative Konzepte
• Alle Konzepte zum Datenschutz und zur IT-Sicherheit im Unternehmen müssen im Zusammenhang mit – der Fortentwicklung der Unternehmensorganisation,
– der daraus abgeleiteten Technologieplanung und
– der Herstellung des geplanten technischen Zustandes
betrachtet werden.
W. Kruth 2001 127
Integrative Konzepte
• Dies bedeutet in der Konsequenz eine ganzheitliche Planung, die alle organisatorischen, technischen, datenschutzrechtlichen und sicherheitsbezogenen Merkmale und Einflussgrößen berücksichtigt.
W. Kruth 2001 128
Integrative Konzepte
• Integrative Konzepte scheitern oft an Ressourcenknappheit. In diesen Fällen bietet sich eine stufenweise Entwicklung über Teilkonzepte an, die entweder nach– organisatorischen,– systemtechnischen oder – maßnahmenbezogenen
Kriterien gebildet werden.
W. Kruth 2001 129
Integrative Konzepte
• Die Entwicklung integrativer Konzepte erfolgt zweckmäßigerweise in einer Top Down-strukturierten Vorgehensweise, um alle denkbaren Problemfelder in die Diskussion einzubeziehen.
W. Kruth 2001 130
Integrative Konzepte
• Weitere Voraussetzungen für den Erfolg sind– eine hohe Fach- und Organisationskompetenz
des Datenschutzbeauftragten,– die methodische Entwicklung unter
Anwendung von Methoden und Prinzipien des Projektmanagements.
W. Kruth 2001 131
Integrative Konzepte
• Das Projektmanagement– strukturiert den Entwicklungsprozess in
abgeschlossene Meilensteine als Voraussetzung für eine effiziente Projektplanung, -steuerung und –kontrolle,
– definiert die Kompetenzen des Projektmanagers und des Entwicklungsteams.
W. Kruth 2001 132
Integrative Konzepte
• Im Entwicklungsteam sind die Kompetenzen der IT-Bereiche, der Beschaffung und des Datenschutzbeauftragten unter Moderation des Projektträgers gebündelt.
• Wesentlicher Vorteil der Projektarbeit ist die Gewinnung von Synergieeffekten für alle Beteiligten.
W. Kruth 2001 133
Integrative Konzepte
• Die Erstentwicklung integrativer Konzepte kann auch durch eine externe Dienstleistung erfolgen; das Unternehmen übernimmt anschließend die Fortentwicklung. Diese Variante ist besonders für kleine und mittlere Unternehmen mit geringen eigenen Ressourcen eine wirtschaftliche Alternative.
W. Kruth 2001 134
Sicherheit durch Standardisierung
• Eine wesentliche Verbesserung des Datenschutz- und Sicherheitsniveaus kann durch eine weitgehende Standardisierung von Objekteigenschaften und technischen Regeln, insbesondere im Bereich der Zugangs- und Zutrittskontrolle erreicht werden.
W. Kruth 2001 135
Sicherheit durch Standardisierung
• Die Standardisierung von technischen Objekten der IT – Hardware- und Software-Komponenten – vereinfacht die Konzeption und Realisierung von Sicherheitssystemen, die im wesentlichen Architektur und funktionale Eigenschaften von Hardware und Software berücksichtigen.
W. Kruth 2001 136
Sicherheit durch Standardisierung
• Insbesondere das Sicherheitsziel „Gewährleistung der Verfügbarkeit“ wird durch die Standardisierung der IT-Systeme wesentlich leichter erreichbar, da Backup- und Recovery-Strategien vereinfacht werden.
W. Kruth 2001 137
Sicherheit durch Standardisierung
• Standardisierungen sind auch in der Zugangs- und Zugriffskontrolle von Relevanz, die insbesondere bei mehrstufigen Kontrollsystemen aus Sicherheits- und Zweckmäßigkeitsgründen die Einrichtung von Benutzerprofilen mit Single Sign On-Prozedurmimik unterstützt.
W. Kruth 2001 138
Sicherheit durch Standardisierung
• Ein weiterer Ansatz zur Standardisierung ist in der Qualifizierung des Personals angesiedelt.
• Wesentliche Voraussetzung für einen vernünftigen Umgang mit der Technik ist die Herstellung einer positiven Einstellung zur IT und den damit verbundenen Anforderungen des Datenschutzes und der IT-Sicherheit. Diese kann bei einer fehlenden oder unzulänglichen Qualifizierung nicht erwartet werden.
W. Kruth 2001 139
Datenschutzaudit
• Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von IT-Systemen, Software und datenverarbeitende Stelle ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige Gutachter prüfen und bewerten lassen.
W. Kruth 2001 140
Datenschutzaudit
• Zielsetzung des Datenschutz-Audits ist es, den Stand der Realisierung der Forderungen der wesentlichen datenschutzrechtlichen Vorschriften in einer Institution abbilden, beurteilen und Möglichkeiten zur Verbesserung bieten.
W. Kruth 2001 141
Datenschutzaudit
• Zur Erreichung dieser Zielsetzung sollte ein Datenschutz-Audit folgende Merkmale erfüllen:– Ausgangsbasis ist ein definiertes Zielniveau– Grundlage für Prüfkriterien– Lieferung von K.O.-Kriterien für Nichtbestehen
der Prüfung– alle Feststellungen sind verifizierbar bzw.
falsifizierbar.
W. Kruth 2001 142
Datenschutzaudit
• Das Datenschutz-Audit bietet den Vorteil der systematischen Erkennung von Schwachstellen und die Bereitstellung von vergleichbaren Prüfergebnissen.
• Die Skalierfähigkeit des Verfahrens ermöglicht eine bereichsbezogene Auditierung in großen Unternehmen mit stufenweiser Verdichtung entsprechend der Organisationsgestaltung.
W. Kruth 2001 143
Datenschutzaudit
• Ergebnisse der Auditierung sind– Gutachten über die Qualität der
Datenschutzorganisation und der Bemühungen um Fortentwicklung des Datenschutzes,
– Mängelliste zur Beseitigung von festgestellten Defiziten und Prioritäten zur Mängelbeseitigung,
– Zertifikat über die erfolgreiche Auditierung nach abgeschlossener Mängelbeseitigung.
W. Kruth 2001 144
Teil 4Sicherheit im Intranet und
Internet
W. Kruth 2001 145
Teil 4.1Begriffe und Dienste
W. Kruth 2001 146
Intranet und Extranet
• Intranet: Nutzung der Internet-Technologie im unternehmensinternen Netzwerk
• Extranet: Verbindung von mehreren Intranets über das Internet
W. Kruth 2001 147
Internet-Dienste
• E-Mail:
• Standarddienst im Internet
• Simple Mail Transport Protocol (SMTP)
W. Kruth 2001 148
Internet-Dienste
• World Wide Web (WWW):
• Informationsprotokolle für Beantwortung von Anfragen oder Referenzen
• Adressierung der Informationsquelle mittels HTTP (Hypertext Transfer Protocol)-Adresse für den Abruf von aktiven oder passiven Webseiten
• WWW kann andere Dienste aktivieren (z.B. FTP bei Zugriff auf Softwareanbieter)
W. Kruth 2001 149
Internet-Dienste
• FTP (File Transfer Protocol) unterstützt den Transport und die Zeichensatzumkodierung von Text- und Binärdateien:
• Dateitransfer wird über Kontroll- und Datenkanäle mit unterschiedlichen Port-Nummern gesteuert
• Anonymous FTP: Bereitstellung von kopierfähigen Dateien auf FTP-Server zum Download ohne Voranmeldung oder Befugniserteilung
• FTP-Server sollten nur passive Aktivitäten zulassen und keine sicherheitsrelevanten Dateien beinhalten
W. Kruth 2001 150
Internet-Dienste
• Telnet:
• Einfacher Terminalzugang zu einem System
• Telnet-Sitzungen sollten nur auf Maschinen gestartet werden, die einander trauen (Secure Telnet), in diesen Fällen werden die Nachrichten verschlüsselt
• Bei ungesicherten Telnet-Verbindungen Einmal-Passworte verwenden
W. Kruth 2001 151
Internet-Dienste
• Usenet News (Diskussionsforen):
• Öffentliche Foren für sachthematische oder allgemeine Diskussionsbeiträge
• Urheber der Diskussionsbeiträge sind nicht erkennbar
• Diskussionsforen sind Plattformen für notwendigen Erfahrungsaustausch (z.B. Foren von Herstellern)
• Probleme: Veröffentlichungen von Verleumdungen, Digitales Mobbing usw.
W. Kruth 2001 152
Teil 4.2TCP/IP-Protokoll
W. Kruth 2001 153
TCP-/IP-Protokoll
• Internet-Protokoll:
• TCP/IP (Transmission Control Program / Internet Protocol) ist ein Satz von Kommunikationsprotokollen
• TCP/IP unterstützt das Weiterleiten von Informationen, die Versendung von E-Mails und den Einsatz von Remote-Login-Funktionen
• Übertragungssicherheit durch TCP/IP wird ab IPv6 erreicht
W. Kruth 2001 154
TCP-/IP-Protokoll
• IP-Pakete:
• IP-Pakete bestehen aus einem Kopf (Header) mit Quell- und Zieladresse, Prüfsumme und den Nutzdaten
• IP ist ein ungesicherter Dienst: Pakete können verloren gehen, mehrfach zugestellt werden, einander überholen
• Integrität der Nutzdaten wird bis IPv6 nicht überprüft
W. Kruth 2001 155
TCP-/IP-Protokoll
• TCP:
• TCP stellt gesicherte virtuelle Verbindungen zur Verfügung
• Ablieferung Pakete erfolgt in Reihenfolge des Versandes, verlorene / verstümmelte Pakete werden nochmals übertragen
• Reihenfolge der Pakete wird durch Laufnummer bestimmt
• TCP-Header beinhaltet Quellsystem, Quellport, Zielsystem und Zielport (Port = Dienst-Ident)
W. Kruth 2001 156
TCP-/IP-Protokoll
• Internet-Adressen:
• Internet-Adressen (IP-Adressen) sind mehrstufige, eindeutige und einmalige Adressen von Rechnern im Internet
• Eine IP-Adresse klassifiziert das Netzwerk und den Rechner im Netzwerk
• Netzwerke i.S. des IP-Adressteils sind mehrstufig (hierarchische Teilnetze), die auch als Domänen bezeichnet werden
W. Kruth 2001 157
TCP-/IP-Protokoll
• Rechnernamen:• IP-Adressen sind eindeutige Rechnerbezeichnungen• IP-Adressen werden aus Gründen der
Praktikabilität in eindeutige, nicht wiederholbare Rechnernamen transformiert
• Für jede Domäne existiert ein Domain Name Server (DNS), der die geforderte Eindeutigkeit gewährleistet
• Rechnernamen sollten keinen Bezug zu betrieblichen Aktivitäten / Organisationsmerkmalen aufweisen (RFC 1178/Request for Comments)
W. Kruth 2001 158
TCP-/IP-Protokoll
• Routing von Datenpaketen:
• Routing ist der Vorgang der Suche, Auswahl und Nutzung von Routen zwischen zwei oder mehreren Zielen (Wegwahl in Datennetzen)
• Routing-Protokolle dienen der dynamischen Suche nach geeigneten Wegen im Internet
• Routing-Informationen definieren die Routen von der Quell- zur Zielmaschine und zurück
• Problem: Unterwanderung von Routing-Strategien zur Vorbereitung einer Maskerade
W. Kruth 2001 159
Teil 4.3Allgemeine
Bedrohungspotenziale
W. Kruth 2001 160
Bedrohungspotenziale
• Hacker und Cracker
• planen ihre Angriffe sorgfältig
• Ziele sind das Ermitteln von Schwachstellen oder die Beeinträchtigung der Verfügbarkeit von Systemen
• sind als externe Angreifer eine Bedrohung, deren Eintrittswahrscheinlichkeit schwer eingeschätzt werden kann
• stellen ihr Wissen im Internet zur Verfügung
W. Kruth 2001 161
Bedrohungspotenziale
• Typische Angriffe sind• Denial-of-Service-Attacken: mittels spezieller
Software werden Web-Server mit falschen Informationen versorgt oder durch eine Datenflut destabilisiert
• Port-Scans: ermitteln der aktiven Ports eines Systems zur Vorbereitung von aktiven Angriffen
• Sniffing: „Schnüffelprogramme“, die auf dem angegriffenen Rechner den Datenverkehr überwachen, aufzeichnen und an den Angreifer übersenden.
W. Kruth 2001 162
Bedrohungspotenziale
• Schadenstiftende Software (Malicious Software, Malware)
• Viren sind unselbständige Programmroutinen, die einen „Wirt“ benötigen, um ihre Schadensfunktion zu aktivieren
• Trojanische Pferde sind selbständig ablaufende Programme, die vom Angreifer oder vom Benutzer aktiviert werden müssen
W. Kruth 2001 163
Bedrohungspotenziale
• Polymorphe Viren• Verschlüsselte Viren, deren Code durch
unterschiedliche Reihenfolge und Verwendung von Maschinenbefehlen gekennzeichnet ist.
• Anwendung unterschiedlicher Verschlüsselungsmechanismen (Mutation Engine).
• Tarnkappen-Viren (Stealth-Viren)• Überwachung und Manipulation von Dateizugriffen.• Manipulation des Directory, um Entdeckungen bei
Größenveränderungen infizierter Programme zu vermeiden.
W. Kruth 2001 164
Bedrohungspotenziale
• Makro-Viren bestehen aus einem oder mehreren Makros und beihalten meist Auto-Makros wie AutoOpen oder AutoClose, um beim Lesen eines infizierten Dokumentes oder einem Kalkulationsblatt aktiviert zu werden.
• Makro-Viren werden beim Öffnen eines befallenen Dokumentes oder eines anderen Wirtsträgers aktiviert.
• Makro-Viren können fast unbegrenzte Schäden anrichten. Sie können destruktiv wirken (formatieren von Plattenspeichern aktivieren), Texte in Dokumenten manipulieren oder API-Funktionen in Makros einbinden.
W. Kruth 2001 165
Bedrohungspotenziale
• Makro-Viren werden in den Makrosprachen der jeweiligen Standard-Bürosoftware erzeugt.
• Produzenten von Makro-Viren sind damit nicht nur Außentäter, sondern in vermehrtem Umfang auch Innentäter
• Das Gefährdungspotential ist wesentlich größer als bei den klassischen Computer-Viren, da Makro-Viren schnell erstellt und einfach verbreitet werden können. In Fachzeitschriften und im Internet werden Entwicklungshilfen angeboten.
W. Kruth 2001 166
Bedrohungspotenziale
• Trojanische Pferde können in
• Gerätetreibern
• System-Updates
• ActiveX-Controls
oder anderer Software versteckt sein.
W. Kruth 2001 167
Abwehr von Malware-Attacken
• Schädlingsbekämpfung durch Virenscanner• Auswahl eines geeigneten Virenscanners. Erfahrungsberichte
usw. sind über das BSI oder die Virus Test-Center abrufbar.
• Empfehlungen in Fachzeitschriften sind kritisch zu betrachten, da die Testbreite und -tiefe nicht immer optimal ist.
• Für zentrale Kontrollstellen sind mindestens zwei unterschiedliche Virenscanner einzusetzen, deren Stärken in der Erkennung und Beseitigung gut kombiniert werden können.
• Virenscanner müssen mindestens im 2-Wochen-Zyklus aktualisiert werden; Aktualisierungen über das Internet sind zu bevorzugen.
W. Kruth 2001 168
Abwehr von Malware-Attacken
• und durch
• regelmäßige Überprüfung aller infrage kommenden Systeme auf Befall mit klassischen Computer-Viren, insbesondere beim mobilen Computing.
• Installation von residenten Virus-Wächtern in vernetzten Systemen zur Kontrolle der Dateizugriffe.
• Kontrolle aller ein- und ausgehenden Datenträger auf Schleusen-Systemen, die über eine trennbare Verbindung zum LAN / Intranet verfügen.
W. Kruth 2001 169
4.3 E-Mail-Sicherheit
W. Kruth 2001 170
Bedrohungen beim E-Mail
• Manipulation von Adressen und Nachrichteninhalten
• E-Mail-Bombing
• Unbefugte Kenntnisnahme des Nachrichteninhaltes und der Inhalte von Attachments (Anlagen)
• Infektion durch Makro-Viren in den Attachments
• Datendiebstahl mittels E-Mail-Versand an andere Adresse
• Mail-Diebstahl
W. Kruth 2001 171
Sicherheitsfunktionen E-Mail-Dienst
• Sicherheit gegen Manipulation von Inhalten:
• Überprüfung aller ein- und ausgehenden Mails auf Befall mit Malware vor Verschlüsselung bzw. nach Entschlüsselung mit automatischem Virenscan
• Ausgehende Mails: Verschlüsselung der Nachrichteninhalte und der Inhalte von Attachments und Digitale Signierung der Mails und Attachments
W. Kruth 2001 172
Sicherheitsfunktionen E-Mail-Dienst
• Sicherheit gegen Datendiebstahl:
• Sicherheitsregeln zur Begrenzung der Attachments nach Art und Transfergröße
• Content-Filterung (Inhaltsprüfung) auf dem Mail-Server
W. Kruth 2001 173
Sicherheitsfunktionen E-Mail-Dienst
• Sicherheit gegen Adressmanipulation und Mail-Diebstahl:
• Vereinbarung von Quittungsregeln und Digitaler Signatur mit Korrespondenzpartnern
W. Kruth 2001 174
Sicherheitsfunktionen E-Mail-Dienst
• Sicherung im Extension-Mode:
• Benutzung von S/Mime (Secure Multipurpose Internet Mail Extensions) anstelle der standardmäßigen MIME-Unterstützung
W. Kruth 2001 175
4.4 Web-Sicherheit
W. Kruth 2001 176
Browser-Funktionalität
• IP-Adressumsetzung
• HTML-Interpretation
• Java Virtual Machine für Java-Bytecode
• Verifizierung von ActiveX-Controls
• Anzeige und Registrierung von Cookies
W. Kruth 2001 177
Java-Applets
• Java-Applets sind pre-compilierte Programme, die im Kontext zu einer Web-Seite übertragen werden.
• Grundsätzlich bietet Java keine Funktionen für den Zugriff auf interne und externe Speicher; llerdings können diese Sperren durch Einsatz von Entwicklungsumgebungen mit voller Java-Unterstützung umgangen werden.
• Funktionsumfang Java-Programmiersprache entsprechend C-Sprache
• Java-Skriptsprache als integrales Element von HTML-Skripten
W. Kruth 2001 178
Java-Applets
• Funktionalität der Applets ist nicht bekannt
• Die Browser bieten gegen schadensstiftende Java-Applets keinen wirksamen Schutz. Sie überprüfen lediglich - soweit vorhanden - die digitale Signatur, die jedoch keine Erkenntnisse über die Programmfunktionen liefert.
W. Kruth 2001 179
ActiveX-Controls
• Ausführbarer Programmcode
• Funktionalität entspricht Windows-unterstützter Software
• Kontrolle über Browser für signierte Controls
• Funktionalität der Controls ist nicht bekannt
W. Kruth 2001 180
ActiveX-Controls
• ActiveX-Controls bieten im Gegensatz zu Java von vornherein keine Beschränkungen in der Funktionalität. ActiveX-Controls verfügen über die uneingeschränkte Schnittstellenkompatibilität von Software, die unter Windows NT ablauffähig ist.
• Der Browser kontrolliert ActiveX-Controls auf das Vorhandensein einer digitalen Signatur. Dabei können verschiedene Kontrollstufen eingestellt werden. Allerdings ist auch in diesem Fall eine Erkennung auf schadensstiftende Funktionen nicht möglich.
W. Kruth 2001 181
Cookies
• Registrierung von wiederkehrenden Informationen beim elektronischen Geschäftsverkehr
• Cookies und Informationen werden auf Festplatte abgespeichert
• Funktionalität der Cookies ist nicht bekannt
W. Kruth 2001 182
CGI-Problematik
• CGI (Common Gateway Interface)-Schnittstellen erlauben es dem Webserver, nachgelagerte Programme (CGI-Skripts o.a.) zu aktivieren, zum z.B. Datenbankrecherchen durchzuführen
• CGI-Programme erhalten ihre Parameter als Listanhang zur URL
• Die Steuerungsparameter können leicht modifiziert werden
W. Kruth 2001 183
4.5 IT-Sicherheit in der Telearbeit
W. Kruth 2001 184
IT-Sicherheit in der Telearbeit
• Bedrohungen:• Diebstahl der IT
• Unberechtigter Zugang zu Informationen
• Nutzung nicht lizenzierter Software
• Unkontrollierter Aufbau von Kommunikationsverbindungen
• Maskerade
• Unberechtiger Zugang zum Unternehmensnetzwerk
W. Kruth 2001 185
IT-Sicherheit in der Telearbeit
• Grundlegende Aspekte
• Arbeitszeitregelung für die Präsenzzeiten im Büro; in dieser Zeit sollte vom häuslichen Arbeitsplatz kein Zugriff auf die Systeme im Unternehmensnetz gestattet sein
• Ermittlung und Diskussion des Bedrohungspotenzials
• Gemeinsame Erstellung des Sicherheitskonzeptes mit den Beteiligten
W. Kruth 2001 186
IT-Sicherheit in der Telearbeit
• Maßnahmen am Telearbeitsplatz:• Zugangskontrolle mittels Chipkarte, da der Rechner im
häuslichen Bereich in völlig ungesicherten Umgebung betrieben wird
• Nutzungsverbot nicht freigegebener Software; die Installation am Telearbeitsplatz muss durch Einschränkung von Admininistrator-Rechten und Remote-Kontrolle des Systemzustandes verhindert werden
• Betreuungs- und Wartungskonzept für das System am Telearbeitsplatz
• Verschlüsselung empfindlicher Daten
W. Kruth 2001 187
IT-Sicherheit in der Telearbeit
• Maßnahmen im Schleusenbereich:• Restriktive Zugriffsrechte für den Fernzugriff auf das
Unternehmensnetzwerk
• Sichere Datenübermittlung durch Einsatz von krypografischen oder steganografischen Verfahren
• Automatischer Rückruf
• Einsatz von sicherer Kommunikationssoftware mit Einzel- und Gruppen-Identifikation
• Deaktivierung nicht benötigter Router-Funktionalitäten
W. Kruth 2001 188
4.6 Sicherheitsbarrieren
W. Kruth 2001 189
Missbrauch des Internet-Zugangs
• Imageverlust
• Gebührenbetrug
• Verlust von Arbeitszeit
• Erpressbarkeit von Surfern
• Maßnahmen:
– Internet-Regelung mit Definition von Sanktionen
– Gezielte Auswertung der Protokolldateien
W. Kruth 2001 190
Abschottung des Unternehmensnetzes
• Kein Internetzugang
• Internetzugang über Schleusen-Systeme
• Internetzugang über Firewall
W. Kruth 2001 191
IPsec
• IPsec ist ein Paket von Sicherheitserweiterungen zur Gewährleistung der Vertraulichkeit und Authentizität von Daten
• Verschlüsselt werden der Authentication Header (Point-to-Point-Verschlüsselung) und die Daten (Encapsulating Security Payload) (End-to-End-Verschlüsselung)
W. Kruth 2001 192
Filterung von Cookies
• Ausfilterung von Cookies aus Werbungsinformationen
• Differenzierung von Cookies nach Kategorien zur individuellen ergänzenden Filterung
W. Kruth 2001 193
Content-Filterung
• Content-Filterung unterstützt die Prüfung von Seiten- oder Nachrichteninhalten auf unzulässige Inhalte (z.B. rechtsextremistische Darstellungen usw.)
• Content-Filterung kann isoliert im Netzwerk oder in Kombination mit einer Firewall erfolgen
• Kernstück der Content-Filterung sind Sperr- und Freigabelisten, die sich u.a. am Recreational Software Advisory Council-Standard orientieren
W. Kruth 2001 194
Paketfilter
W. Kruth 2001 195
Paketfilter
• Paketfilter werden zwischen Netzwerksegmenten platziert
• Jeder Port (Kontrollschleuse) des Paketfilters kann für die Implementierung der Sicherheitspolitik, die festschreibt, welcher Dienst für welchen Port zugänglich sein soll, verwendet werden
W. Kruth 2001 196
Paketfilter
• Prinzipien:
• Kriterien für die Paketfilterung müssen für jeden Port separat eingetragen werden
• Wenn ein Datenpaket einen Port erreicht, so wird sein Header gelesen
• Die Filterregeln werden in einer bestimmten Reihenfolge abgespeichert, die auch die Reihenfolge der Anwendung bestimmt
W. Kruth 2001 197
Paketfilter
• Filterregeln:
• Wenn eine Regel die Übertragung oder den Empfang eines Datenpaketes blockiert, dann ist dieser Pakettyp verboten
• Wenn eine Regel den Empfang oder die Übertragung eines Datenpaketes erlaubt, so darf dieser Pakettyp passieren
• Erfüllt ein Datenpaket keine der gespeicherten Regeln, wird es abgewiesen
W. Kruth 2001 198
Paketfilter
• Filterregeln-Parameter:
• Lfd. Nr. der Filterregel
• Aktion
• Quelle und Quellport
• Ziel und Zielport
• Optionen
• Erläuterungen
W. Kruth 2001 199
Paketfilter
• Filterung an Ein-/Ausgangsports:
• Die Filterregeln definieren, ob die Filterung bei ein- oder ausgehenden Paketen erfolgen soll
• Erfolgt die Filterung am Ausgang, kann nicht mehr festgestellt werden, über welche Schnittstelle das Paket hereinkam (Adress-Spoofing-Attacken)
• Die Filterung eingehender Pakete vermeidet Adress-Spoofing
W. Kruth 2001 200
Application Gateway
W. Kruth 2001 201
Application Gateway
• Application-Gateway setzen für jede Applikation und jeden Dienst einen Proxy (Stellvertreter) ein, die den gesamten ein- und ausgehenden Verkehr kontrollieren und protokollieren
• Proxys agieren anstelle der Zieladressaten
• Die geprüften und freigegebenen Pakete werden vom Proxy an die Zieladresse weitergeleitet
W. Kruth 2001 202
Application-Gateway
• Bastion Host:
• Überprüfung der Anforderungen vom und ins externe Netzwerk auf der Anwendungsschicht
• Wird die Anforderung vom Bastion Host durchgelassen, wird sie weiter an das interne Netzwerk geleitet
• Bei ausgehendem Verkehr werden die Anforderungen an den Überwachungsrouter geleitet
W. Kruth 2001 203
Application-Gateway
• Konfiguration Bastion-Host:
• Einsatz von proprietären Betriebssystemen (höhere Sicherheit gegen Attacken)
• Begrenzung der Konfiguration auf Proxy-Services
W. Kruth 2001 204
Demilitarisierte Zone
W. Kruth 2001 205
Demilitarisierte Zone
• Die Demilitarisierte Zone (DMZ) sichert das interne Netzwerk gegen direkte Angriffe
• In der DMZ werden die IP-Adressen aus dem internen Netz neutralisiert und durch die IP-Adresse der DMZ ersetzt
• Die Überwachungsrouter bilden die Schnittstellen zum internen und externen Netzwerk
W. Kruth 2001 206
Demilitarisierte Zone
• In der DMZ werden weitere Sicherheitsschleusen für Mail- und Web-Dienste installiert
• Web-Server können für allgemeine oder besondere Informationen vor und hinter den Überwachungsroutern installiert werden
• Mail-Server können für ein- und ausgehende Mails getrennt oder dediziert konfiguriert werden
W. Kruth 2001 207
Gestaffelte Firewall-Systeme (1)
• Sicherheit gegen Angriffe aus dem Internet / Intranet kann bei mehrstufigen Netzen nur durch gestaffelte Firewall-Systeme erreicht werden:
- Firewall im zentralen Gateway des Unternehmens zum Internet
- Firewall der Sub-Netze gegenüber dem Intranet
- Firewall-Funktionalität auf PC (Personal Firewall)
W. Kruth 2001 208
Gestaffelte Firewall-Systeme (2)
• Zentrale Firewall:- Genereller Ausschluss spezifizierter Dienste (z.B. FTP)
- Kontrolle des E-Mail-Verkehrs durch Einbindung der E-Mail-Server in die DMZ
• Firewall als Subnetz-Gateway:- erweiterte Sicherheit für bestimmte Verbindungen, z.B.
durch Ausfilterung von Java-Applets und ActiveX-Controls
W. Kruth 2001 209
Gestaffelte Firewall-Systeme (3)
• Personal Firewall:- Ausfilterung von Cookies, Java-Applets / ActiveX-Controls,
und dynamischen Links
- Überprüfung von Nachrichten auf Virenbefall vor Dateiaktivierung
- Ausfilterung von Datenmüll (Web Washing) (z.B Werbebanner, Grafiken ab einer bestimmten Grösse usw.)
- zentrale Administrierung zur Verhinderung der Manipulation von Einstellungen (Admin-Berechtigung)
W. Kruth 2001 210
Policing Server
• Policing Server sind Webserver für den kontrollierten Zugriff auf kritische Seiten
• Die angegebene URL wird mit der IP-Adresse des Absenders verglichen
• Der Seitenaufbau erfolgt aus einer Datenbank nach Authentifizierung
W. Kruth 2001 211
Messaging-Router
• Messaging-Router sind in einem Subnetz den Mail-Servern vorgelagerte Proxies
• Die Filterung ein- und ausgehender Mails auf Virenbefall und zulässige Attachments erfolgt auf dem Router, die Ver- und Entschlüsselung (soweit nicht Ende-zu-Ende-Verschlüsselung) auf dem Server
W. Kruth 2001 212
Teil 5Kryptografie undDigitale Signatur
W. Kruth 2001 213
5.1 Organisation, Technik, Nutzung
W. Kruth 2001 214
Kryptoware
• Weltweit sind ca. 1700 Produkte erhältlich
• Deutschland ca. 100 Produkte
• Geringe Wachstumsdynamik, Zurückhaltung bei Firmen und Behörden
W. Kruth 2001 215
Kryptoware
• Einsatzprobleme sind begründet in• Heterogenität der Kommunikationsstruktur im B2B und
B2C-Bereich
• Unkenntnis / Unsicherheit über Anwendungsmöglichkeiten von Kryptoverfahren und Organisation des Key-Managements
W. Kruth 2001 216
Kryptoware
• Einsatzgebiete sind - Verschlüsselung von vertraulichen Nachrichten (E-Mail)
und Daten (Datenübermittlung)
- Verschlüsselung von betrieblichen Daten auf mobilen Systemen
- Erzeugung von digitalen Signaturen (kryptographischen Prüfsummen) im Geschäftsverkehr, zur Integritätsprüfung von Software und zur Integritätsprüfung bei der Datenübermittlung
W. Kruth 2001 217
Sicherheit kryptografischer Verfahren
• Die Sicherheit eines kryptografischen Verfahrens beruht allein auf dem Schlüssel, der zum Dechiffrieren benötigt wird
• Handlungsmaxime: Man soll von vornherein annehmen, dass ein Gegner das Verfahren kennt
W. Kruth 2001 218
Grenzen und Problemfelder
• Die Verschlüsselung von vertraulichen Informationen verliert ihren Sinn, wenn Geschäftsgeheimnisse auf andere Art und Weise erlangt werden können
• Beim Einsatz von Kryptoware ist die Schnittstellenverträglichkeit zur vorhandenen IT-Infrastruktur von besonderer Bedeutung
W. Kruth 2001 219
Gültigkeit erzeugter Schlüssel
• One Way-Keys verlieren ihre Gültigkeit mit der Dechiffrierung
• One Session-Keys bleiben für die Zeitdauer einer Verbindung aktuell
• Multiple Session-Keys unterliegen keiner Befristung
W. Kruth 2001 220
Verschlüsselung per Software
• Softwarebasiere Kryptoverfahren sind erforderlich beim Einsatz von Kryptoware in heterogenen Kommunikationsstrukturen und bei der Singular-Verschlüsselung von Daten in stationären oder mobilen Systemen
• Standardsoftware wie z.B. Mail-Systeme verfügen über integrierte Kryptoware (Blockverschlüsselung bis 56 Bit)
W. Kruth 2001 221
Verschlüsselung per Hardware (Blackbox-Verfahren)
• Das Blackbox-Verfahren chiffriert und dechiffriert alle Nachrichten in gesicherten Transportsystemen mittels Hardware-Logik, die von Firmware gesteuert wird
• Sicherung der Blackbox-Systeme durch „Selbstzerstörungsmechanismus“ bei nicht-autorisiertem Manipulationsversuch
W. Kruth 2001 222
Hardware-Software-Kombination
• Schlüsselgenierung und Verschlüsselung mittels personalisierter Chipkarte
• Dechiffrierung mittels Software-Lösung
W. Kruth 2001 223
5.2 Krypto-Verfahren
W. Kruth 2001 224
Symmetrische Verschlüsselung
W. Kruth 2001 225
Symmetrische Verschlüsselung
• Die symmetrische Verschlüsselung (Private Key-Verfahren) basiert auf dem System gleicher Schlüssel für Ver- und Entschlüsselung
• Vorteil des symmetrischen Verfahrens: hohe Geschwindigkeit
• Nachteile des symmetrischen Verfahrens:- aufwendiges Key-Management
- Sicherheitsprobleme beim Schlüssel-Transfer
- „Knacken“ des Schlüssels durch Vergleichsmerkmale
W. Kruth 2001 226
Symmetrische Verschlüsselung
• Die Schlüssel können vom Endbenutzer oder einem autorisierten Key-Management-Center definiert werden
• Die Schlüsselelemente - Schlüsselwert und PIN zur Aktivierung - werden den berechtigten Inhabern auf getrennten Zugangswegen übermittelt
W. Kruth 2001 227
Blockverschlüsselung bei symmetrischen Verfahren
• Blockschlüsselverfahren: - Schlüssel als „Codierblock“ mit einer Mindestlänge von 64
Bit = 20 Trillionen denkbarer Schlüsselinhalte
- Für die Schlüsselbildung werden Basisalgorithemen aktiviert, die z.B. Zufallswerte erzeugen und diese mit dem Inhalt der zu verschlüsselnden Information logisch nach UND / ODER verknüpfen
• Sichere Blockschlüsselverfahren definieren eine „Schlüsseltiefe“ von 128 Bit
W. Kruth 2001 228
Sicherheitsprobleme bei symmetrischen Verfahren
• Bei Bekannt werden einer Klartext-Nachricht und dem zugehörigen Chiffrat können bei standardisiertem Nachrichten-Aufbau (z.B. Standardfloskeln in Briefen, Verwaltungsinformationen in Textdateien) Ableitungen für Aufbrechversuche mit schnellen Rechnersystemen ermöglichen (Brute-Force-Attacken)
W. Kruth 2001 229
Weiterentwicklung symmetrischer Verfahren
• US-Normierungsbehörde NIST (National Institute of Standard and Technology) definiert Adcanced Encryption Standard (AES) mit Schlüsseltiefe von 128, 192 und 256 Bit
• Im Vergleich zum 64-Bit-Standard soll AES schneller sein, frei verfügbar und öffentlich nachprüfbar
W. Kruth 2001 230
Asymmetrische Verschlüsselung
W. Kruth 2001 231
Asymmetrische Verschlüsselung
• Asymmetrische Schlüsselverfahren (Public Key-Verfahren) erzeugen einen zweiteiligen Schlüssel, bestehend aus einem öffentlichen und privaten Schlüssel
• Der öffentliche Schlüssel wird dem / den Kommunikationspartner/n übermittelt und zur Chiffrierung verwendet
• Der private Schlüssel wird vom Schlüsseleigentümer zur Dechiffrierung verwendet
W. Kruth 2001 232
Asymmetrische Verschlüsselung
• Die öffentlichen Schlüssel werden den berechtigten Kommunikationspartnern durch ein Trust Center übermittelt
• Das Trust Center zertifiziert den Schlüssel für den Eigentümer nach vorheriger Authentifizierung
• Das Zertifikat ist Bestandteil des Krypto-Verfahrens
W. Kruth 2001 233
Sicherheitsprobleme
• Zwischen beiden Schlüsselteilen besteht eine enge, formelmäßig erfassbare Beziehung
• Langlebigkeit öffentlicher Schlüssel unterstützt Brute-Force-Attacken
W. Kruth 2001 234
Vor- und Nachteile asymmetrischer Verfahren
• Austausch von öffentlichen Schlüsseln gegen Falsifikate erschwert
• „Rückruf“ von öffentlichen Schlüsseln problematisch
• Zeitaufwendige Berechnungen
W. Kruth 2001 235
Hybrid-Verfahren
W. Kruth 2001 236
Hybrid-Verfahren
• Hybrid-Verfahren kombinieren die Vorteile beider Basisverfahren der Kryptographie
• Die für die Verschlüsselung verwendeten geheimen Schlüssel sind Einwegschlüssel, die nach Dechiffrierung nicht mehr benutzt werden können
W. Kruth 2001 237
One Way-Hashfunktionen (1)
• Bei der elektronischen Übermittlung von Daten können Datenpakete während des Transports beschädigt werden (z.B. durch Modemstörung)
• Datenkommunikationsprogramme sollten daher Prüfsummen für jedes Datenpaket ermitteln und getrennt übermitteln
• Die Prüfsummenbildung erfolgt für Klartext-Informationen und Chiffrate
W. Kruth 2001 238
One Way-Hashfunktionen (2)
• Nachteil der Standard-Prüfverfahren ist, dass sie nur geringen Schutz vor absichtlichen Änderungen bieten
• Für die sichere Erzeugung von Prüfverfahren werden Kryptoverfahren verwendet, die zur Berechnung der Prüfsummen für eine Transfereinheit (z.B. Datei, Textdokument) einen Zufallswert (Hashwert) generiert
• Problem: Übermittlung des Hashwertes an den Nachrichtenempfänger
W. Kruth 2001 239
5.3 Digitale Signatur
W. Kruth 2001 240
Digitale Signatur
W. Kruth 2001 241
Digitale Signatur
• Die digitale Signatur dient dem Nachweis der Absender-Authentizität, die mit den verschiedenen Krypto-Verfahren nicht erreicht werden kann
• Zum Erzeugen der digitalen Signatur wird der geheime Schlüssel des Absenders verwendet, zum Dechiffrieren der öffentliche, vom Trust Center zertifizierte Schlüssel des Absenders
W. Kruth 2001 242
Digitale Signatur
• Die digitale Signatur dient auch dem Nachweis der Unversehrtheit, da sie als Hash-Wert aus dem Signierelement gebildet wird
• Für die Ermittlung des Hash-Wertes wird ein erweiterter Algorithmus unter Einbeziehung von Datums- und Zeitstempeln sowie dem Zertifikat für den öffentlichen Schlüssel des Absenders verwendet, diese Elemente können aus dem Mischalgorithmus wieder entwickelt werden
W. Kruth 2001 243
Digitale Signatur
• Dem Empfänger des signierten Elementes werden der Mischalgorithmus und der Hash-Wert verschlüsselt übermittelt
• Der Empfänger dechiffriert den Mischalgorithmus und wendet diesen zur Kontrollerzeugung des Hash-Wertes aus dem übermittelten Element an
• Die Identität beider Hash-Werte beweist die Unversehrtheit des übermittelten Elementes
W. Kruth 2001 244
Kryptographieverfahren: Erzeugung derdigitalen S ignatur auf Absenderseiter
M itteilung von A an B
M ittAaB
RSA-Verfahren
M itteilung von A an B
Dokum ent
Bildung des Hash- kom prim ats
Verschlüsselung des Hash- kom prim ats m it geheim em Schlüssel
Verschlüsseltes Hashkom prim at = elektronische S ignatur
E lektronische Unterschrift + Dokum ent = unterschriebenes Dokum ent
W. Kruth 2001 245
K ryptographieverfahren: Prüfung derd ig italen S ignatur auf E m pfängerseite
R S A-V erfahren
M itteilung von A an B
E lektron ische U nterschrift + D okum ent = un terschriebenes D okum ent
M ittAaBM ittAaB
E ntsch lüsseln des versch lüsselten H ashkom prim ats m it dem ö ffen tlichen S ch lüssel des Absenders
H ashfunktion
E ntsch lüsseltes H ashkom prim at
V erg leich
?
W. Kruth 2001 246
Signaturverfahren mit Trust Center
• Trust Center = Elektronisches Notariat
• Aufbau einer Dreiecksbeziehung zwischen Absender, Trust Center und Empfänger:
- Absender und Empfänger vereinbaren jeweils geheimen Schlüssel mit Trust Center
- Die vom Absender verschlüsselte Nachricht wird im Trust Center dechiffriert und mit dem Schlüssel des Empfängers neu chiffriert
- Der Empfänger erhält die mit seinem Schlüssel chiffrierte Nachricht und das Originalchiffrat des Absenders
W. Kruth 2001 247
Zertifizierung von Schlüsseln (1)
• Hierarchische Zertifizierungssysteme:- Hierarchische Zertifizierungssysteme basieren auf einem
System von vertrauenswürdigen Servern (Certification Authority)
- Die Zertifizierung öffentlicher Schlüssel erfolgt entweder
- direkt vom Server an den / die Empfänger mit dem Zertifikat, dass der Schlüssel von einer authentifizierten Person stammt
- nach der Direktübermittlung vom Schlüsselinhaber an den / die Empfänger durch Übermittlung des öffentlichen Schlüssels vom Empfänger an den Server zur Nachprüfung und Zertifizierung
W. Kruth 2001 248
Zertifizierung von Schlüsseln (2)
• Die Zertifizierung basiert auf einem Netz von Vertrauensverhältnissen (Web of Trust)
• Im Web of Trust kann jede Person den öffentlichen Schlüssel einer ihr bekannten Person signieren, die Signatur wird auf Key-Management-Servern hinterlegt
• Eine Person kann eine Mehrfach-Signatur von unterschiedlichen Personen erhalten
• Die Key-Management-Server sind miteinander vernetzt und gleichen die Signatur ab
W. Kruth 2001 249
Sichere Aufbewahrung von Schlüsseln
• Schlüssel werden in Systemen oder auf Chipkarten gespeichert
• Schlüsselspeicherung auf Systemen: -Benutzung der Schlüssel ist nach Eingabe einer Passphrase,
z.B. kompletter Satz mit Satzzeichen, möglich
- Verschlüsselung der Schlüsseldatei erfolgt mit einem Hashwert der Passphrase
• Schlüsselspeicherung auf Chipkarte:- anteilige Schlüsselspeicherung auf Chipkarte und im
System
W. Kruth 2001 250
Sichere Aufbewahrung von Schlüsseln
• Chipkarten werden unterschieden in• Speicherchipkarten
• Speicherchipkarten mit Sicherheitslogik, die den Zugriff auf den Speicher nur nach bestimmten Regeln erlaubt,
• Prozessorchipkarten, die der Chipkarte die Eigenschaften eines Rechners verleihen
• Prozessorschipkarten mit Krypto-Prozessor für die Unterstützung rechenintensiver kryptografischer Operationen
• Für den Einsatz in kryptografischen Verfahren usw. kommen nur die beiden Varianten der Prozessorchipkarte (Smartcard) in Betracht.
W. Kruth 2001 251
Sichere Aufbewahrung von Schlüsseln
• An die Sicherheit der Chipkarte sind hohe Anforderungen zu stellen:• Die Vertraulichkeit der in der Chipkarte gespeicherten
kryptografischen Schlüssel und weiterer Regeln zur Identifizierung bzw. Authentifizierung des Karteninhabers muss unter allen Umständen gewahrt bleiben
• Die Aktivierung der in der Chipkarte programmierten Funktionen muss über besondere Berechtigungsprüfungen, z.B. Eingabe einer PIN oder eines Passwortes, abgesichert sein
• Das Betriebssystem der Chipkarte muss immun sein gegen Malware-Befall
W. Kruth 2001 252
Sichere Aufbewahrung von Schlüsseln
• Die Sicherheitsregeln müssen in allen Phasen der Chipkarten-Verwendung• Erstpersonalisierung
• Ausgabe
• Betrieb
• Nachpersonalisierung
• Außerbetriebnahme und Rücknahme
• Vernichtung
wirksam werden.
W. Kruth 2001 253
Sichere Aufbewahrung von Schlüsseln
• In den Phasen der Erst- und Nachpersonalisierung ist sicherzustellen, dass die persönlichen Kenndaten des Chipkarten-Benutzers richtig und vollständig eingetragen werden, und dass die Applikationen zulässige Anwendungen sind
• Im laufenden Betrieb sind die Chipkarten auf Einhaltung der Integritätsregeln zu überprüfen; hierzu ist eine entsprechende Administration erforderlich, die für jede Chipkarte die Berechtigungen und Nutzungsvereinbarungen protokolliert werden
W. Kruth 2001 254
5.4 Standardisierung kryptografischer Systeme
W. Kruth 2001 255
Standardisierung kryptografischer Systeme
• Standardisierungen der Public-Key-Handhabung werden häufig als Public Key Infrastruktur (PKI) bezeichnet
• Wesentliche Normungsgremien sind• ISO (Internation Organization for Standardization)
• ITU-T (International Telecommunications Union)
• Einheitliche PKI sind eine wesentliche Voraussetzung für die vereinfachte Übertragung und Verifizierung kryptografisch gesicherter Elemente
W. Kruth 2001 256
Standardisierung kryptografischer Systeme
• ISO 9594-8 / ITU-T-Standard X.509 Formatregeln beziehen sich auf• eindeutige Angaben zur Herkunft, Erstellungszeitpunkt und
verwendete Algorithmen für die Erstellung des Zertifikates
• den Namen des Schlüsselbesitzers
• Merkmale zur Überprüfung der Identität des Schlüsselbesitzers
• Merkmale zur eindeutigen Identifikation der Zertifizierungs-Instanz
• Unterschrift der zur Zertifizierung autorisierten Instanz
W. Kruth 2001 257
Standardisierung kryptografischer Systeme
• Industriestandards übernehmen eine Vorreiter-Funktion zur pragmatischen Nutzung kryptografischer Verfahren
• Wesentliche Entwicklungen sind in diesem Segment• SSL (Secure Sockets Layer)
• PKCS (Public Key Cryptography Standards)
W. Kruth 2001 258
Standardisierung kryptografischer Systeme
• SSL• steht für die wesentlichen Internet-Protokolle zur Verfügung
• Sicherheitsmimik:• Server sendet seinen öffentlichen Schlüssel mit einem Zertifikat,
das der WWW-Browser überprüfen kann
• Browser erzeugt eine Zufallszahl als Sitzungsschlüssel und versendet diese in chiffrierter Form an den Server; außerdem informiert er den Server über die von ihm verwendeten Krypto-Verfahren
• Server übermittelt Bestätigung
• Datenaustausch in verschlüsselter Form
W. Kruth 2001 259
Standardisierung kryptografischer Systeme
• PKCS• ist im Vergleich zu SSL kein Internet-Konsens, sondern
konkreter Lösungsvorschlag für vorhandene Kompatibilitätsprobleme
• wird von RSA Data Security in Absprache mit anderen Firmen entwickelt
• baut auf den genannten ISO / ITU-T-Standards auf
• konkretisiert die Anforderungen der Normen durch Formatierungen, Attribute und Regeln zur Verschlüsselung in verschiedenen Entwicklungsstufen
W. Kruth 2001 260
5.5 Steganografie
W. Kruth 2001 261
Steganografie
• Ziel der Steganografie ist es, eine Nachricht so zu übermitteln, dass sie nicht auffällt oder nachgewiesen werden kann, dass überhaupt eine Kommunikation stattfindet.
• Computergestützte Steganografie ermöglicht das Verstecken von Informationen in einer Trägernachricht mit geringem Aufwand. Vertrauliche Firmendaten lassen sich ebenso gut verstecken wie private Informationen.
W. Kruth 2001 262
Steganografie
• Steganografische Verfahren können in Übertragungsverfahren mit geringen Sicherheitsanforderungen anstelle aufwändiger Krypto-Verfahren eingesetzt werden.
• Ein weiterer Einsatzbereich ist das „Watermarking“ zur Erzeugung digitaler Wasserzeichen, die eine Verfälschung des Informationsinhaltes erkennen lassen.
W. Kruth 2001 263
Steganografie
• Steganos-Software unterstützt das Verstecken von Informationen in (bevorzugt) Fest- oder Bewegtbildern.
• Für das verstecken und wiedergewinnen der Informationen wird der gleiche, feste Algorithmus verwendet. Voraussetzung ist allerdings, dass Sender und Empfänger über das gleiche Programm verfügen. Auf dem Markt existiert eine Vielzahl von Steganos-Software.
W. Kruth 2001 264
Steganografie
• Als Versteck werden in Bildern die sog. niederwertigen Bits verwendet, die wenig oder keine relevanten Primärinformationen beinhalten (sog. Rauschen eines Bildes).
• Das entdecken von versteckten Informationen ist dann möglich, wenn man verschiedene Steganos-Programme verwendet. Allerdings können moderne Steganos-Programme der Entdeckungsgefahr durch eine Verschlüsselung des manipulierten Bildes entgehen.
W. Kruth 2001 265
Teil 6Sicherheit im E-Business
W. Kruth 2001 266
6.1 Grundbegriffe
W. Kruth 2001 267
Grundbegriffe
• E-Business definiert sich in verschiedenen Geschäftsprozesstypen für Elektronische Geschäftsbeziehungen:
• B2B (Business to Business)
• B2G (Business to Government)
• B2C (Business to Customer)
• C2B (Customer to Business)
• C2C (Customer to Customer)
W. Kruth 2001 268
Grundbegriffe
• E-Commerce ist die Abbildung von vertrieblichen Aktivitäten im Beschaffungs- und Absatzmarkt mit Internettechnologien mit unterschiedlicher Funktionalität:
• Elektronisches Bestellwesen mit Einsatz von Elektronischer Formularsteuerung
• Online-Auftragsannahme und –bearbeitung
• EDI (Electronic Data Interchange) im B2B und B2G
W. Kruth 2001 269
Grundbegriffe
• E-Government ist die Bereitstellung von Dienstleistungen des öffentlichen Sektors über das Internet für• andere Behörden und öffentliche Einrichtungen (G2G)
• Kunden (G2C), unabhängig davon, ob es sich hierbei um private oder juristische Personen handelt
• Logistik und Organisation der Geschäftsprozessabwicklung sind vergleichbar dem E-Business
W. Kruth 2001 270
Grundbegriffe
• M-Commerce
• Verwendung von mobilen Zugangsgeräten wie Funktelefone oder PDA (Personal Digital Assistent) für die Abwicklung von Geschäften
• Nutzung von ortsungebundenen Diensten
• Verbindung zwischen mobilem Endgerät und Benutzer ist deutlich stärker als Verbindung zwischen Person und stationärem Client
W. Kruth 2001 271
6.2 Bedrohungspotenziale
W. Kruth 2001 272
Bedrohungspotenziale
• Der elektronische Workflow im E-Business und E-Government ist Angriffsziel von Innen- und Außentätern
• Das Bedrohungspotenzial wird dynamisch beeinflusst durch
• Eindringlinge
• nicht berechtigte Absender
• nicht berechtigte Anwender
• falsche Empfänger
• falsche Absender
W. Kruth 2001 273
Bedrohungspotenziale
• Eindringlinge
• Datendiebstahl durch Download
• Vandalismus
• Vorsätzliche Manipulation von Systemfunktionen und Daten
W. Kruth 2001 274
Bedrohungspotenziale
• Nicht berechtigte Absender• Datendiebstahl durch Übertragung
• Nicht berechtigte Auslösung von betrieblichen Interaktionen
• Ausübung betriebsfremder Tätigkeiten
• Nicht berechtigte Anwender• Bedienungsfehler
• Vorsätzliche Veränderung von Daten- und Systemzuständen
• Einschleusen von Malware
W. Kruth 2001 275
Bedrohungspotenziale
• Falsche Empfänger und falsche Absender
• Unachtsamkeit bei der Adressierung
• Verschleierung der IP-Adresse
W. Kruth 2001 276
Bedrohungspotenziale M-Commerce
• PDA:• PDAs verfügen nicht über ein Sicherheitsbetriebssystem mit
Speicherschutz
• Start-Passwörter und verschlüsselte Datenbanken bieten zu geringen Schutz für sensitive Informationen wie Krypto-Schlüssel und die Gewährleistung der Datenintegrität
• Hersteller von PDA-Betriebssystemen setzen zunehmend auf Flexibilität und nicht auf Sicherheit
• Keine durchgängige Unterstützung von Smartcard-Lesegeräten
W. Kruth 2001 277
Bedrohungspotenziale M-Commerce
• Mobilfunk:• GSM-Standard verfügt nicht über aufbruchsichere Krypto-
Algorithmen
• Sicherheit von GSM-Datenfunk gilt nur innerhalb des GSM-Netzes; ein Übergang in andere Transportsysteme verläuft im Regelfall ungeschützt
• SMS-Nachrichten werden i m Klartext übertragen
W. Kruth 2001 278
6.3 Sicherheitsarchitekturen für Web und WAP (Wireless
Application Protocol)
W. Kruth 2001 279
Sicherheitsarchitekturen
• Jeder Schritt in Richtung E-Business und M-Business öffnet die Unternehmensnetze eigenen Mitarbeitern, Geschäftspartnern und Kunden
• Sensitive Inhalte müssen jederzeit vor unberechtigtem Zugriff geschützt bleiben
• In der mobilen Kommunikation werden mit neuen, leistungsfähigen Übertragungssystemen wie WAP, GPRS (General Packet Radio System) und UTMS (Universal Mobile Telecommunications Systems) die vorhandenen Gefahrenpotenziale in eine erweiterte Dimension gerückt
W. Kruth 2001 280
Sicherheitsarchitekturen
• Authentisierung und Datenverschlüsselung im Web
• Sichere Festnetzkommunikation wird durch TLS (Transport Layer Security) und SSL (Secure Socket Layer) unterstützt
• TLS und SSL bilden die Plattform für den Einsatz von sicheren Authentifizierungssystemen zwischen Teilnehmern und Web-Servern und eine starke Verschlüsselung der Übertragungsdaten
• Zugangsschutz wird durch in Chipkarten gekapselte digitale Zertifikate realisiert
• Zeitstempeldienst und synchronisierte Transaktionsnummern (TANs) bieten zusätzliche Sicherheitsfunktionen im Transportsystem
W. Kruth 2001 281
Sicherheitsarchitekturen
• Zugangsschutz und Datenverschlüsselung im Mobilnetz• WAP-WTLS (Wireless Transport Layer Security) aktiviert in
• Stufe 1 eine Verschlüsselung der Übertragungsdaten, allerdings werden hierfür keine verbindlichen Verschlüsselungsverfahren definiert
• Stufe 2: Server-Zertifikate zur Kontrolle des Teilnehmers, ob er mit dem WAP-Server des richtigen Anbieters kommuniziert
• Gegenseitige Authentifizierung der Kommunikationspartner wird erst ab WAP-Version 1.2 mit WIM (Wireless Identification Module) unterstützt
W. Kruth 2001 282
Sicherheitsarchitekturen
• WIM• definiert verbindliche Funktionen zum Key Management in
der mobilen Kommunikation
• bildet die Plattform für den Folgestandard, der eine Authentisierung via PKI mit der sicheren Hinterlegung von digitalen Zertifikaten auf einer Extra-Chipkarte unterstützt; alternativ können Krypto-Algorithmus und Schlüsselinformationen in einem geschützten Bereich auf der SIM-Karte hinterlegt werden
W. Kruth 2001 283
Sicherheitsarchitekturen
• Vereinheitlichung der Sicherheitsarchitekturen für Web und WAP • Vereinheitlichung der TSL/SSL-Standards für Festnetz- und
Mobilkommunikation
• Firewall-Konzepte werden weiterhin auf die Kontrolle des Festnetzzugangs und die Authentifizierung aller Teilnehmer ausgerichtet
• Die Zugriffskontrolle für mobile Kommunikation wird über eine zentrale Benutzeradministration mit allen erforderlichen Zugriffsregeln und –rollen auf einem Sicherheitsserver auf der Applikationsebene durchgeführt
W. Kruth 2001 284
6.4 Sicherer Zahlungsverkehr
W. Kruth 2001 285
Sicherer Zahlungsverkehr
• Haupttechnologien sind
• ECASH (Electronic Cash) als Äquivalent zur allgemein üblichen Bezahlung über Bankkonten
• SET ( Secure Electronic Transaction) analog zum Kreditkarten-Payment
W. Kruth 2001 286
Sicherer Zahlungsverkehr
• Ecash-Merkmale:• Einrichtung eines „Elektronischen Kontos“ auf dem Client des
Benutzers, das nach Vereinbarungen mit dem Kreditinstitut auf bestimmte Geldmengengrößen eingestellt wird und jederzeit wieder aufgefüllt werden kann
• Die Zahlungen werden vergleichbar dem Buchungsvorgang auf dem Girokonto vom Ecash-Konto abgebucht
• Voraussetzungen für die Ecash-Nutzung sind neben dem Ecash-Konto die sog. Handlingssoftware für die Aufnahme und Durchführung der Transaktionen
W. Kruth 2001 287
Sicherer Zahlungsverkehr
• Ecash-Zahlungsvorgänge:• Ecash-Händlersoftware generiert eine „Elektronische
Zahlungsaufforderung“ (Interaktive Rechnungsstellung)
• Ausfüllen einer Zahlungsanweisung durch den Rechnungsempfänger
• Überweisung des „virtuellen Zahlungsmittels“ an den Empfänger; die elektronischen Geldeinheiten bilden ein Äquivalent zu realen Geldwerten
• Überprüfung des Kontostandes vor Zahlung, ggfls. muss vor Zahlung das Ecash-Konto aufgefüllt werden
W. Kruth 2001 288
Sicherer Zahlungsverkehr
• Ecash-Einzahlungen:
• Empfänger entscheidet über die Annahme des Zahlungseingangs
• Verlagerung vom Ecash-Konto auf das reale Bankkonto
W. Kruth 2001 289
Sicherer Zahlungsverkehr
• Grundanforderungen:
• Die Geschäftspartner und die involvierten Kreditinstitute sowie beteiligte Kreditkarten-Unternehmen müssen eindeutig authentifiziert werden können
• Die im Zahlungsgeschäft übermittelten Daten dürfen für andere Personen oder Stellen nicht zugänglich sein
W. Kruth 2001 290
Sicherer Zahlungsverkehr
• Ecash-Sicherheit:• Zahlungsmittel verraten nichts über die Identität des Kunden
• Die virtuellen Geldscheine werden durch chiffrierte Seriennummern gegen Fälschung und Mehrfachausgabe gesichert; bei Einrichtung und Nachversorgung des Ecash-Kontos erzeugt das Kreditinstitut singuläre „Leermünzen“ , stellt sie mit einem spezifischen digitalen Zeitstempel auf Valuta und führt die Transaktion ins Ecash-Konto durch
• Die Transaktionen werden durch die Digitale Signatur der Buchungsvorgänge abgesichert
W. Kruth 2001 291
Sicherer Zahlungsverkehr
• SET-Merkmale:• Vertraulichkeit der Zahlungen und Auftragsinformationen
• Gewährleistung der Integrität der übertragenen Informationen
• Verifizierung der Kreditkartenkonto-Berechtigung
• Starke Authentifizierungsverfahren und Verschlüsselung der Zahlungsvorgänge durch hochsichere Krypto-Mechanismen
W. Kruth 2001 292
Sicherer Zahlungsverkehr
• SET-Anforderungen (1):• Erzeugung und Bereitstellung digitaler Zertifikate durch
Trust-Center des Kreditkarten-Unternehmens; die Zertifikate bestehen aus
• einem Set elektronischer Informationen zur Verifizierung der Berechtigungen im Kreditkartengeschäft,
• Kryptografische Schlüssel und
• weitere Informationen, die Bestandteil des Kreditkarten-Vertrages darstellen.
• Das Zertifikat wird die Elektronischen Unterschriften des Kreditkarten-Institutes und der beteiligten Bank abgesichert,
W. Kruth 2001 293
Sicherer Zahlungsverkehr
• SET-Anforderungen (2):• Software für den Karteninhaber zur Verwaltung der Digitalen
Zertifikate; die Software wird in den Internet-Browser integriert
• Zahlungssystem-Software zur Entschlüsselung der Transaktionsdaten und Überprüfung der Gültigkeit der Zertifikate des Karteninhabers
• Software für die Durchführung des Verkaufsgeschäftes mit Informationsbereitstellung über die kartenausgebende Bank und die Händlerbank
W. Kruth 2001 294
Sicherer Zahlungsverkehr
• SET-Abwicklung (1):
• Karteninhaber und Verkaufsgeschäft erhalten digitale Zertifikate zur Überprüfung der Identität eines Karteninhabers und die Qualität des Verkaufsgeschäftes; bei positivem Ergebnis erfolgt die Ausstellung von One-Session-Zertifikaten als Voraussetzung für das eigentliche SET-Geschäft
• Karteninhaber und Verkaufsgeschäft führen einen Verkaufsdialog; bei SET-Bezahlung ruft die Software des Verkaufsgeschäftes das Zertifikat des Karteninhabers ab und sendet die Daten des Verkaufsvorgangs an den Zahlungssystem-Server
W. Kruth 2001 295
Sicherer Zahlungsverkehr
• SET-Abwicklung (2): • Der Zahlungssystem-Server entschlüsselt die Transaktions-
Informationen und überprüft die Gültigkeit der Zertifikate
• Übermittlung der Zahlungsdaten vom Zahlungssystem-Server an das Kartenunternehmen des Karteninhabers; von dort wird bei positivem Prüfungsergebnis das OK an Verkaufsgeschäft und Kreditkarteninhaber gemeldet
W. Kruth 2001 296
Modul 7Sicherheit
von E-Government-Prozessen
W. Kruth 2001 297
Sicherheit von E-Government-Prozessen
Szenarien und Strategien
Kommunen und andere öffentliche Verwaltungen sind Anbieter öffentlicher Dienste für natürliche und juristische Personen
E-Government verfolgt zwei Entwicklungsstrategien:Stufe 1: Dienstleistungen per Internet Stufe 2: Umsetzung der in Stufe 1 gewonnenen Synergieeffekte
für Umgestaltungsprozess der Verwaltung
W. Kruth 2001 298
Sicherheit von E-Government-Prozessen
Szenarien und Strategien
Entwicklung von E-Government-Angeboten erfordert präzise Zielvorgaben eindeutige Produktbestimmung Definition der Wertschöpfungskette Neugestaltung von Geschäftsprozessen Mut zur Änderung tradierter Vorstellungen Bereitstellung der erforderlichen Ressourcen
W. Kruth 2001 299
Sicherheit von E-Government-Prozessen
Zielhorizonte
Verwaltungsziele Diskussion und Partizipation Stärkung der Community
Ziele der Internet-Strategie Ökonomisierung des Verwaltungshandelns Binnenmodernisierung von Verwaltungseinheiten Corporate Identity der öffentlichen Verwaltung
W. Kruth 2001 300
Sicherheit von E-Government-Prozessen
Rollen der öffentlichen Verwaltung im E-Government
ProviderAnbieter von unterschiedlichen Produkten WissensvermittlerPortal für übergreifende Angebote Sponsoring im Public-Private-Partnership
W. Kruth 2001 301
Sicherheit von E-Government-Prozessen
Prozessorientierte Schnittstellen im E-GovernmentBürgerschnittstelle (Front Office-Interface)
Einschätzbare Angebote authentische Informationen umfassend vernetzte Informationen Verwaltungsanwendungen für den Alltagsgebrauch Formularservice
Interne Schnittstelle (Back Office-Interface) Verschlüsselung Online-Verarbeitung Digitale Signatur
W. Kruth 2001 302
Sicherheit von E-Government-Prozessen
Anforderungen an sichere Prozessabwicklung
Sichere Authentifizierung von Kunde und Dienstleister Sichere Transaktionsdienste zur Gewährleistung der
Vertraulichkeit und Integrität der Daten Revisionssicherheit im Beweisverfahren Rechtssicherheit im Verwaltungsverfahren
W. Kruth 2001 303
Sicherheit von E-Government-Prozessen
Einschätzung des Restrisikos
Verschlüsselung und Digitale Signatur bieten keinen Schutz gegen die Zerstörung von Daten und Datendiebstahl
W. Kruth 2001 304
Sicherheit von E-Government-Prozessen
Klassifikationsschema E-Government
Dimension der Kundensicht (1) Öffentlich zugängliche Informationen für jedermann Allgemeine Dienstleistung für jedermann
Identifizierung / Authentifizierung des Kunden nicht erforderlich, aber der Behörde
W. Kruth 2001 305
Sicherheit von E-Government-Prozessen
Klassifikationsschema E-Government
Dimension der Kundensicht (2) Individuelle Dienstleistung
Inanspruchnahme erfordert gegenseitige Identifizierung / Authentifizierung
W. Kruth 2001 306
Sicherheit von E-Government-Prozessen
Klassifikationsschema E-Government
Technische Dimension (1)Basistechnische Unterstützung der Dienstleistung mit
Medienbruch (Elektronischer Formularservice mit konventioneller Antragsbearbeitung)
Authentizität der Formulare muss gewährleistet sein, Schutz des Formularservices gegen Verlust
der Integrität
W. Kruth 2001 307
Sicherheit von E-Government-Prozessen
Klassifikationsschema E-Government
Technische Dimension (2) Online-Antragsbearbeitung mit Direktspeicherung der Daten
in das Anwendungssystem, Verarbeitung wird manuell gesteuert (kein Medienbruch)
Erweiterung der unter (1) genannten Sicherheitsziele um Gewährleistung der
Datenintegrität bei der Eingabe, Sicherung des Transportsystems
W. Kruth 2001 308
Sicherheit von E-Government-Prozessen
Klassifikationsschema E-Government
Technische Dimension (3) Online-Antragsbearbeitung mit Direktverarbeitung in
ganzheitlichen automatisierten Verfahren (Routineverarbeitungen ohne Ermessensspielräume)
Zusätzlich zu den fortgeschriebenen Sicherheitszielen (2) muss die IT-Infrastruktur gegen gesteuerte und
ungesteuerte Angriffe gesichert werden
W. Kruth 2001 309
Sicherheit von E-Government-Prozessen
Gewährleistung der Revisionssicherheit
Eindeutige, nicht wiederholbare Referenzierung von Antragsfällen Kombinationswert aus Zufallszahl, Geschäftszeichen,
persönlichen Kenndaten des Kunden, Datums- und Zeitstempel
Zwangserstellung einer Kopie des verschlüsselten Antrags auf dem System des Kunden oder einer vertrauenswürdigen Service-Stelle
W. Kruth 2001 310
Sicherheit von E-Government-Prozessen
Gewährleistung der Rechtssicherheit
Kontextsensitive Online-Hilfen bei der Datenerhebung Eindeutige Hinweise auf Verbindlichkeit abgegebener
Erklärungen Antragsteller muss sich über die Folgewirkungen der
Erklärung gegenüber der Behörde bewusst sein Umfassende Integritätsprüfungen bei der
Datenerhebung, unabhängig von der Art der Verarbeitung
W. Kruth 2001 311
Sicherheit von E-Government-Prozessen
Rechtsverbindlichkeit der Kommunikation
Rechtliche Voraussetzungen für die Herstellung der Rechtsverbindlichkeit einer Erklärung sind durch das neue Signaturgesetz (SiG) geschaffen
Technische Umsetzung erfolgt durch Protokolle für die gesicherte Transaktionssteuerung
W. Kruth 2001 312
Sicherheit von E-Government-Prozessen
Online Services Computer Interface (OSCI) OSCI ist ein Protokoll speziell für die sichere
Übertragung digital signierter Nachrichten über das Internet
Das Protokoll unterstützt Funktionen der Ereignissteuerung, Vermittlung und Nachvollziehbarkeit von Nachrichten
Die Weiterverarbeitung von Nachrichten in medienbruchfreien Verfahren wird durch OSCI mittels XML-Nutzung unterstützt
W. Kruth 2001 313
Sicherheit von E-Government-Prozessen
Online Services Computer Interface (OSCI)OSCI-Strukturmerkmale (1)
Gesamtprozess-Unterstützung Definiertes, standardisiertes Formularsystem für den
Nachrichtenaustausch (Behörden-“EDI“) Strikte Trennung von Nutzungs- und Inhaltsdaten mit
unterschiedlichen Verschlüsselungen und abgegrenzten Rechteprofilen
Regelbasierte Nachrichtenübermittlung zur Verfahrensintegration
Formatregeln für die Inhaltsdaten
W. Kruth 2001 314
Sicherheit von E-Government-Prozessen
Online Services Computer Interface (OSCI)OSCI-Strukturmerkmale (2)
Fristgerechte Zustellung ist gerichtsfest nachweisbarGeringe technische Anforderungen beim Kunden
(Personalisierte Chipkarte und Kartenleser für die Signatur- und Geldkarte)
W. Kruth 2001 315
Sicherheit von E-Government-Prozessen
Online Services Computer Interface (OSCI)Anwendungsbeispiel (1)
Anforderung einer Geburtsurkunde über kommunales Informationssystem
Bereitstellung der formalen Struktur mittels signiertem Java-Applet
Dateneingabe mit Differenzierung nach Pflichteingaben und optionalen Daten, Plausibilisierung auf formaler und logischer Ebene
Präsentation der Antragsdaten zur Kontrolle und Bestätigung
W. Kruth 2001 316
Sicherheit von E-Government-Prozessen
Online Services Computer Interface (OSCI)Anwendungsbeispiel (2)
Behandlung und Verschlüsselung der unterschiedlichen Nachrichteninhalte Inhaltsdaten werden mit dem öffentlichen Schlüssel des
Empfängers geschütztNutzdaten werden intermediär gespeichert einschl.
Zertifikat des Absenders und der Bedingungen in regelbasierten Verfahren
Speicherung der Nutzdaten in Laufzetteln für die Prozesssteuerung über Funktionen des Intermediär
Nutzdaten werden für den Intermediär verschlüsselt
W. Kruth 2001 317
Sicherheit von E-Government-Prozessen
Online Services Computer Interface (OSCI)Anwendungsbeispiel (3)
Dechiffrierung des Laufzettels durch den Intermediär, Interpretation der Nutzdaten
Steuerung des Verarbeitungsprozesses über den Intermediär unter Berücksichtigung von Abhängigkeiten in regelbasierten Prozesssteuerungen
Weiterleitung des Laufzettels an Fachadressat, Kopieerstellung für Archiv des Intermediär
Dechiffrierung der Inhaltsdaten durch Fachadressat
W. Kruth 2001 318
Sicherheit von E-Government-Prozessen
Virtual Private Networks (VPN)
VPN´s werden durch eine mittels kryptografischer Verfahren gesicherte Verbindung von Rechnern
Die Sicherheit der Verbindung zwischen den Rechnern entspricht den Sicherheitswirkungen in einem geschützten „privaten“ Netz
W. Kruth 2001 319
Sicherheit von E-Government-Prozessen
Virtual Private Networks (VPN)Standard-VPN basieren auf dem Prinzip des Tunneling
Kapselung der Nachrichtenpakete in ein zweites Paket (Point-to-Point Tunneling Protocol, PPTP)
PPTP arbeitet mit den korrespondierenden Protokollen zur Authentisierung und Handshaking auf den unteren Ebenen des ISO-Referenzmodells für offene Systeme
PPTP und Korrespondenz-Protokolle bieten keinen ausreichenden Schutz für sensitive Daten
W. Kruth 2001 320
Sicherheit von E-Government-Prozessen
Virtual Private Networks (VPN)Höhere Sicherheit durch IPSec (IP Security)
IP-Header enthält Informationen darüber, ob das Datenpaket während der Übertragung auf irgendeine Weise verändert wurde, und ob die Absenderangabe identisch ist (Authentication Header)
Encapsulation Security Payload verschlüsselt die Daten für die Übertragung in einem Kommunikationssegment
Die Verständigung zwischen Kommunikationspartnern über die Verwendung bestimmter Krypto-Verfahren erfolgt über das Internet Key Exchange Protocol
W. Kruth 2001 321
Sicherheit von E-Government-Prozessen
Virtual Private Networks (VPN)Ende-zu-Ende-Sicherheit erfordert eine starke
Verschlüsselung der InhaltsdatenVerwendung unterschiedlicher Schlüssel für die
Verschlüsselung der Inhaltsdaten und die Anwendung der digitalen Signatur
Zusätzliche Authentisierung innerhalb des VPN gegenüber einem VPN-Server innerhalb der Firewall mittels eines weiteren Schlüssels
W. Kruth 2001 322
Sicherheit von E-Government-Prozessen
Virtual Private Networks (VPN)End-to-End-Architektur
Die beteiligten Rechner wickeln die komplette Datenkommunikation mit Ende-zu-Ende-Verschlüsselung komplett abRechner verfügen über die öffentlichen Schlüssel der
KommunikationspartnerVPN-Agents auf jedem Rechner
W. Kruth 2001 323
Sicherheit von E-Government-Prozessen
Virtual Private Networks (VPN)Site-to-Site-Architektur
Verschlüsselung der Inhaltsdaten erfolgt zwischen den Gateway-Rechnern mittels IPSec
Die Empfangsadresse des Nachrichtenpaketes wird getunnelt und durch die IP-Adresse des Ziel-Gateway ersetzt, die internen Adressen bleiben dem unsicheren Netz verborgen
W. Kruth 2001 324
Sicherheit von E-Government-Prozessen
Virtual Private Networks (VPN)End-to-Site-Architektur
Kombination der beiden anderen ArchitekturmodelleRelevanz-Architektur für dynamische Einwahl in das
Behördennetz von x-beliebigem StandortMobile Kommunikationssysteme sind mit VPN-Software und
Kryptoware ausgestattetTunnel existiert zwischen dem Notebook und dem Gateway
W. Kruth 2001 325
Sicherheit von E-Government-Prozessen
Organisation und Wirkungsweise von PKI
Die technische und organisatorische Infrastruktur zur Erzeugung, Verteilung und Verwaltung von Schlüsseln und Zertifikaten wird als Public Key Infrastructure (PKI) beschrieben
PKI´s bestehen aus mehreren Komponenten und Eigenschaften, die insgesamt die organisatorisch-technische Architektur abbilden
W. Kruth 2001 326
Sicherheit von E-Government-Prozessen
Organisation und Wirkungsweise von PKIKomponenten der PKI-Architektur (1)
Zertifikatsbesitzer (Subject of Certificate) als grundlegende Komponente (natürliche Personen, Behörde, Anwendung oder Rechner)
Key-Management Center (KMC) zur Generierung, Archivierung und Vernichtung von Schlüsseln (Signatur- und Prüfschlüssel, Schlüssel zur Authentifizierung und zur Schlüsselverteilung)
W. Kruth 2001 327
Sicherheit von E-Government-Prozessen
Organisation und Wirkungsweise von PKIKomponenten der PKI-Architektur (2)
Instanz für die Bestätigung und Zertifizierung von öffentlichen Schlüsseln, die Zertifikate werden mit der digitalen Signatur der Certification Authority (CA) beglaubigt
Registration Authority (RA) für die sichere Erfassung und Identitätsprüfung eines Antagstellers als optionale Komponente
Verzeichnis (Directory) für die Veröffentlichung ausgestellter Zertifikate und der Sperrlisten (Certificate Revocation List, CRL) zur Information über ungültige Zertifikate
W. Kruth 2001 328
Sicherheit von E-Government-Prozessen
Organisation und Wirkungsweise von PKIKomponenten der PKI-Architektur (3)
Key Recovery Center (KRC) als vertrauenswürdige Instanz zur Regenierung verloren gegangener Schlüssel
Zertifikatsbenutzer (Certificate Using Entity, CUE), neben den Inhaber von Zertifikaten sind dies Anwendungen oder sonstige Objekte
W. Kruth 2001 329
Sicherheit von E-Government-Prozessen
Organisation und Wirkungsweise von PKI
Anwendungsbereiche für PKIVerschlüsselungDigitale SignaturDigitale Zertifikate
W. Kruth 2001 330
Sicherheit von E-Government-Prozessen
Organisation und Wirkungsweise von PKICommon Bridge CA
Einrichtung und Nutzung einer PKI für eine geschlossene Benutzergruppe ist unproblematisch
Für die Umsetzung der Konzepte in offenen Benutzergruppen muss die globale Kompatibilität der beteiligten Systemkomponenten gewährleistet werden
In einer Common Bridge CA werden die CA verschiedener Behörden zusammengeführt
Die „Bridge-CA“ steht allen Behörden, die die technischen Anschlussvoraussetzungen erfüllen, offen
W. Kruth 2001 331
Sicherheit von E-Government-Prozessen
Organisation und Wirkungsweise von PKI
ProblemfelderFehlende Kontrollen auf sichere Aufbewahrung und Nutzung
von geheimen Schlüsseln der PKI-TeilnehmerFehlende Standards für Smart CardsKeine oder unzureichende Verfahren zum verlässlichen
Schlüsselwiderruf bei Verlust oder Diebstahl von ZertifikatenFehlende PKI-Fähigkeit von System- und
Anwendungssoftware