Zum Inhalt springen

Internationaler E-Commerce in B2C-Märkten/ Sicherheit

Aus Wikibooks

Sicherheitsrisiken für Kunden und Verkäufer im Internet

[Bearbeiten]

Überblick

[Bearbeiten]

Für die meisten Handelsunternehmen ist die Nutzung des Internets mittlerweile zur Selbstverständlichkeit geworden. Leider wird aber oft unterschätzt, welche Gefahren und Risiken dieser Geschäftsweg mit sich bringt und wie verwundbar ein Unternehmen wird, wenn es sich nicht ausreichend schützt.

Im folgenden Teil befindet sich eine Auswahl an Sicherheitsrisiken, die beim E-Commerce zum Problem werden können:

Identitätsdiebstahl

[Bearbeiten]

Unter Identitätsdiebstahl versteht man laut der Online-Enzyklopädie Wikipedia die „missbräuchliche Nutzung personenbezogener Daten (der Identität) einer natürlichen Person durch Dritte“.1

Diese neue Form von Kriminalität zielt vor allem darauf ab, sich durch möglichst vollständige Informationen über eine Person (Geburtsdatum, Anschrift, Führerschein- oder Sozialversicherungsnummern, Bankkonten oder Kreditkartennummern…) als jene auszugeben und sie finanziell zu schädigen, zum Beispiel in ihrem Namen ein Konto zu eröffnen. Oft werden die Daten auch an Interessierte verkauft bzw. dazu benutzt, den Ruf des rechtmäßigen Inhabers zu schädigen.2

Um an solch brisante Daten zu kommen, wird häufig das so genannte ‚Pretext Calling’ verwendet. Darunter versteht man die zwielichtigen Angebote von „Informationsagenten, die gegen Entgelt anbieten, die geheimsten persönlichen Daten beliebiger Personen über das Internet und Datenbanken ausfindig zu machen und weiterzuleiten.“3

Aber auch viele andere kriminelle Methoden, an fremde Daten zu gelangen, zielen meist darauf ab, Identitätsdiebstahl zu begehen und durch das Abfangen von Kennwörtern und/oder persönlichen Daten die bestohlene Person finanziell zu schädigen. Darunter fallen auch Methoden wie Phishing & Pharming bzw. hier das Versenden von Viren, Würmern und Trojanern via E-Mails, welche in den nächsten Punkten noch kurz erläutert werden.

Methoden zum Identitäsdiebstahl

[Bearbeiten]

Phishing und Pharming sind relativ neue Gefahren beim Online-Zahlungsverkehr. Betrüger versuchen, Passwörter, Geheimnummern oder sonstige persönlichen Daten entweder abzufischen (Phishing) oder zu ernten (Pharming), um dann über das Internet an das Geld der Opfer zu gelangen. Auch der sorgfältigste Internetnutzer kann ein Opfer von Pharming werden. Dafür muss nur ein Programm auf den Rechner des Nutzers gelangen. Beliebte Mittel hierfür sind Viren, Trojaner oder Würmer, die im Anhang von Spam-E-Mails versteckt sind. Selbst wer nicht dem Link folgt, sondern beispielsweise die URL manuell eingibt, gelangt auf eine falsche Seite und befindet sich auf dem Server des Angreifers.

Viren

[Bearbeiten]

Ein Computervirus ist ein Programm, das sich selbst verbreitet. Dieses Programm dringt in andere Computerprogramme ein und vermehrt sich dadurch. Wenn man seine Daten nicht schützt, können die Daten durch Dritte verändern oder gelöscht werden. Computerviren können aber auch durch E-Mails versandt werden. Mittlerweile existieren 150.000 Viren und jeden Monat entstehen Hundert neue. Sie verursachten bislang weltweit Kosten und Schäden in Milliardenhöhe und sind auch ein gravierendes Sicherheitsproblem, wenn z.B. geheime Daten ausgetauscht werden.


Wie werden Viren verbreitet

  • Durch Netzwerk- oder Telefonverbindungen
  • Durch Datenträger, wie USB-Stick, CD-ROMs
  • Durch das Herunterladen von Dateien aus dem Internet

In jeder Datei (exe, com) können sich Viren verstecken.


Wenn man einen Virus eingefangen hat, gibt der Computer entweder seltsame Texte aus, oder löscht die Dateien oder sogar die ganze Festplatte. Computer-Viren sind von Menschen geschriebene Programme oder Programmteile. Sie lassen sich nach der Art ihrer Verbreitung in drei Hauptkategorien unterteilen:

Boot-Viren: Infizieren den Bootssektor einer Diskette oder Festblatte. Wenn der Prozessor ein Betriebssystem von der Festplatte lädt, lädt er deshalb automatisch den Virus. Der erlangt so die Kontrolle über den Rechner. Heutzutage gibt es fast keine Boot-Viren mehr, da Betriebssysteme meistens einen guten Schutz dagegen haben.

Datei-Viren: Infiziert Programmdateien, z.B. Spiele, Betriebssystem. Wenn das Programm gestartet wird, infiziert der Virus weitere Dateien.

Makro-Viren: Sie befallen Dokumente die Makros enthalten oder fügen Makros ein, falls noch keine vorhanden sind. Makros sind kleine Programme, die immer wiederkehrende Aufgaben automatisieren, sie sind direkt im Dokument gespeichert und deswegen kann sich der Virus optimal verbreiten. Diese Viren haben sich in den letzten Jahren durch den zunehmenden Datenaustausch per E-Mail schlagartig vermehrt.


Meistens kommen Viren per E-Mail auf den PC, da viele Dokumente als Anhang verschickt werden. Das Internet ist für Viren sehr attraktiv, es ist unkontrolliert und somit können Programme die Viren enthalten leicht verbreitet werden.

Seit 1991 existiert „Virus Construction Kits“, so genannte Baukästen für die Programmierung von Viren. Mit diesen Kästen kann jeder Computer Viren basteln, sogar ohne Programmierkenntnisse.

Ein Virus besteht in der Regel aus drei Programmteilen:

  • Erkennungsteil

Der Virus stellt fest, ob die Datei bereits befallen ist. Somit werden Mehrfachinfektionen vermieden.

  • Infektionsteil

Ein Programm wird ausgewählt und der Programmcode des Virus wird eingefügt. Das Programm ist nun infiziert und kann bei einem Aufruf weitere Programme infizieren.

  • Funktionsteil

Es wird festgelegt, was im System manipuliert werden soll.


Wie kann man Computerviren erkennen?

Computerviren können durch verschiedenste Methoden entdeckt werden, aber eine sichere Methode alle Viren zu entdecken gibt es nicht.

Es können Virensuchprogramme (Virenscanner) eingesetzt werden. Diese Programme suchen nach Merkmalen in Dateien und im System, die typisch für Viren sind. Das Problem ist aber, dass Virenscanner nur bekannte Viren erkennen. Deswegen sollte man immer nur die neueste Version verwenden.

Es können auch Prüf- / Checksummenprogramme eingesetzt werden. Diese Programme errechnen für jede Programmdatei eine Prüfsumme und speichert diese in eine Datei.


Wie kann man sich vor Viren schützen?

  • Man sollte sehr vorsichtig beim Öffnen von Dateien und Programmen sein, deren Herkunft nicht sicher ist, besonders bei Dateien, die per E-Mail ankommen.
  • Auf dem PC sollte sich immer das neueste Virenschutzprogramm befinden und auch ständig darauf achten, dass immer die neueste Version vorhanden ist.
  • Wenn ein Virus gefunden wurde, lädt man die neueste Version vom Virenschutzprogramm herunter und befolgt die Anweisungen, um den Virus unschädlich zu machen.
  • Windows Updates sollten genutzt werden, um das Windows-Betriebssystem zu überprüfen.
  • Microsoft Office-Programme sollten mit Office Update am neuesten Stand gehalten werden.
  • Jeder PC-Nutzer sollte sich über die optimale Einstellung der Sicherheitsfunktion informieren.
  • Firewalls sollte am PC installiert sein.


Weitere Tipps:

  • Man sollte keine unbekannten oder nicht vertrauenswürdige Websites besuchen.
  • Keine E-Mail Anhänge sollten geöffnet werden, wenn der Absender unbekannt ist. Vorsicht aber auch bei E-Mails, die denen der Absender bekannt ist.
  • Das automatische Öffnen von Dateien aus dem Internet sollte deaktiviert werden.

Würmer

[Bearbeiten]

Viren und Würmer verbreiten sich beide auf dem Rechner, haben aber unterschiedliche Techniken. Würmer befallen Rechner, die ein Sicherheitsproblem aufweisen. Sie verbreiten sich automatisch und versuchen aktiv in ein System einzudringen, ohne Benutzerinteraktion.

Die Infektion erfolgt oftmals über E-Mail. Durch Sicherheitslücken in einigen E-Mail-Programmen können sich Würmer sehr schnell verbreiten.


Wie schütz man sich vor Würmern?

  • installieren und ständiges aktualisieren eines Virenscanners
  • Personal-Firewall-Software verwenden, diese kann Sicherheitslücken verhindern
  • Sicherheitsupdates des Betriebssystems installieren

Trojanisches Pferd

[Bearbeiten]

Ein Trojanisches Pferd, umgangssprachlich Trojaner genannt, ist ein Computerprogramm, das als nützliches Programm getarnt ist, im Hintergrund aber eine andere Funktion erfüllt. Diese Funktion kann sein: Passwörter und andere vertraulichen Dateien ausspähen, verändern, löschen oder verschicken. Trojaner können sich wie Viren nicht selbständig verbreiten. Sie sollen den Anwender täuschen und ihn dazu veranlassen, dass er letztlich das Programm selbstständig auf den Computer speichert und installiert. Sie verbreiten sich über Webseiten, Newsgruppen und E-Mails. Mit der zunehmenden Zahl von Internetnutzern verbreiteten sich auch Trojanische Pferde. Bislang wurden Trojaner unter anderem von Cyber-Kriminellen zur Installation von Spionageprogrammen verwendet.


Beispiele für Schadfunktionen von Trojanern:

  • Am Rechner werden häufig Fenster mit Werbeinhalten geöffnet. Dies führt dazu, dass der Rechner langsamer arbeitet
  • Trojaner ändern den Einwahlvorgang des Modems, statt der Nummer des Providers wird eine kostenpflichtige Nummer gewählt
  • Viele Spam-Mails werden versendet
  • Passwörter werden ausfindig gemacht
  • Daten werden verändert, gelöscht oder verschickt


Wie soll man sich verhalten, wenn man von einem Trojaner befallen wird?

  • Die Arbeit am Computer sollte beendet werden
  • Keine Panik sollte aufkommen, durch noch mehr hektischeres Arbeiten kann mehr Schaden angerichtet werden
  • Virenscanner benutzen, dieser untersucht die Festplatte und kann die bekannten trojanischen Pferde finden
  • Einen Fachmann heranziehen

Hoax ist die Bezeichnung für eine Falschmeldung, die sich über E-Mail, SMS und MMS verbreitet. Diese Falschmeldungen werden von vielen sehr ernst genommen und weitergeleitet.


Wie erkennt man einen Hoax?

  • Man wird aufgefordert die „Warnung“ an möglichst vielen Menschen weiterzuleiten
  • Als Quelle wird häufig eine bekannte Firma genannt
  • In der Betreffzeile steht oft der Begriff „Virus Warnung“

Es werden generell nie Virus Warnungen als Kettenbriefe versendet. Das sind alles Hoaxes.


Was enthalten Hoaxes?

  • Seriosität wird vermittelt
  • Information über ein bedeutendes Ereignis
  • Die Bitte, die Information bzw. Warnung weiterzuleiten


Der wirtschaftliche Schaden durch Hoaxes ist enorm. Es entsteht jede Menge ungewollter Datenverkehr im Internet. Hoaxes verschwenden Zeit, da jeder Empfänger sich die Mühe macht, diese zu lesen.


Gefahr besteht, wenn der Benutzer die Anweisungen befolgt. z.B. In einigen Hoaxes befinden sich Tipps, wie man Viren und Würmer entfernen kann, wer dies befolgt, löscht einige Systemdateien, wodurch Probleme entstehen können.


Was soll man unternehmen, wenn man solch ein E-Mail bekommt?

  • Dem gesunden Menschenverstand vertrauen
  • Kettenbriefe nicht weiterleiten
  • E-Mail sofort löschen
  • Niemals aufgrund einer E-Mail eine Datei auf dem PC löschen

Online-Betrug

[Bearbeiten]

Das Internet und der Handel über dieses Medium sind mittlerweile sehr verbreitet und beliebt. Leider ließen unangenehme Nebeneffekte nicht lange auf sich warten. Für Online-Betrüger gibt es schier unzählbare Methoden, sich auf Kosten anderer zu bereichern. Beispielsweise geben die Betrüger einfach eine falsche Identität, Adressierung, Bankverbindung oder Lieferadresse an. Noch dreistere Gauner geben anstatt der eigenen Daten einfach jene einer unbeteiligten dritten Person an.

Problematisch ist, dass die Chancen des Geschädigten, den Betrüger zu identifizieren und so zu einer Wiedergutmachung zu kommen, äußerst gering sind. Zurück bleiben Unschuldige, mit deren Namen betrogen wurde und finanziell geschädigte Webshop-Betreiber, die den Schaden in der Regel auf die Kunden abwälzen, indem sie Betrug von vornherein in die Preise einkalkulieren. Vor allem aber ist es der allgemeine Vertrauensschwund in die Sicherheit und Zuverlässigkeit von Internet und E-Commerce, der langfristig zum Problem werden kann. Daher sind Präventivmaßnahmen der weitgehend einzige Schutz.

Hacking von Webshops

[Bearbeiten]

Der Ausdruck Hacker hat ursprünglich nicht unbedingt eine negative Bedeutung. Laut Brockhaus versteht man darunter lediglich einen „computerbegeisterten, erfahrenen Freak, der intensiv (auch zwanghaft) am Computer arbeitet“.4 Heute hat dieser Ausdruck aber einen sehr negativen Beigeschmack. Beim „Hacking“ spricht man heute vom „Verändern von fremden Websites durch Unbefugte über das Internet“.5

Für erfolgreiche Angriffe auch Web-Applikationen bedarf es normalerweise viel Erfahrung Fantasie, da es um Individuallösungen handelt, und nicht mit einem automatisierten Scanner gearbeitet werden kann. Viele Webshops aber machen es den Angreifern besonders leicht indem sie einfach zu wenig Wert auf die IT-Security legen.

Zwei einfache Beispiele: Bei fast allen Webshops hat der Kunde die Möglichkeit, seine Ware in einen virtuellen Einkaufskorb zu legen. Bei vielen Anbietern wird aber beim Klick auf den Kauf-Button nicht nur die Produkt ID, sondern auch der Preis zum Server geschickt. Da ist es natürlich ein leichtes, die HTML-Seite zu modifizieren und so den Preis beliebig zu verändern.

Eine weitere Falle lauert darin, dass den Eingabedaten des Anwenders oft blind vertraut wird. Beim Online-Banking kann ein Kunde Details über seine Konten erfahren, indem er diese per Mausklick wählt - somit werden per HTTP die Daten übertragen. Für jemanden mit Grundkenntnissen von HTTP ist es kein Problem, die Kommunikation zu manipulieren und so Zugriff auf ein fremdes Konto zu erhalten.

Weitere Gefahren lauern zum Beispiel bei schlecht programmierten Feedback-Formularen, über die sich Spam verschicken lässt oder bei unzureichend konfigurierten Webservern, durch die Warenkorbkonzepte ausgehebelt werden können.

Quellen

[Bearbeiten]

1.1.: vgl. Handelsjournal 3/2005; „Gefahren aus dem Web“

1: Quelle: http://de.wikipedia.org/wiki/Identit%C3%A4tsdiebstahl; Download am 3.1.08

2: siehe Quelle 1.1

3: Quelle: http://www.bbpp.de/texteframe/identdiebstahl.htm; Download am 3.1.08

1.3.: vgl. http://www.ecc-handel.de/aktuelle_entwicklungen_zu_phishing_und_pharming.php, Download am 3.1.08

1.4.: vgl. http://www.bonitaetspruefung.net/Online-Betrug.shtml, Download am 4.1.08

1.5.: vgl. http://www.syss.de/fileadmin/downloads/artikel/Artikel_Livehacking.pdf, Download am 4.1.08 (ausg. 1. Paragraph)

1: Quelle: http://www.brockhaus-suche.de/suche/artikel.php?shortname=b1&artikel_id=20331600&verweis=1

2: Quelle: http://www.brockhaus-suche.de/suche/artikel.php?shortname=b1&artikel_id=20331600&verweis=1, Download am 4.1.08

Viren: http://www.ibit.uni-oldenburg.de/21016.html; http://www.uibk.ac.at/zid/security/schadprog.html

http://www.bsi.de/fachthem/sinet/gefahr/index.htm

Würmer: http://www.uibk.ac.at/zid/security/schadprog.html

Trojanisches Pferd: http://www.bsi.de/av/VirenHoaxes.htm

Hoax: http://www2.tu-berlin.de/www/software/hoax.shtml#3; http://de.wikipedia.org/wiki/Hoax

Mögliche Gegenmaßnahmen

[Bearbeiten]

Grundschutz

[Bearbeiten]

Eine gute Antiviren-Software zum Schutz vor Computerviren und eine Firewall gegen unerwünschte Zugriffe sollten selbstverständlich sein.

Eine Firewall ist ein System aus Software- und Hardwarekomponenten, das den Zugriff zwischen verschiedenen Rechnernetzen beschränkt. Sie versucht den Computer gegenüber dem öffentlichen Raum des Internets zu schützen und Hacker-Angriffe, Datendiebstähle und unberechtigte Zugriffe auf Ihre Daten zu unterbinden.

Das heißt aber nicht, dass das immer gelingt. Im Internet tauchen ständig neue Formen der Bedrohung auf. Trojaner, Denial-of-Service-Attacken, Würmer, Pishing und Spyware können Firewalls ungehindert überwinden und der Antivirensoftware entkommen.

Daher sollte man auch auf jeden Fall mit einem sicheren Server arbeiten, Stichwort SSL-Protokoll und S-HTTP. Außerdem empfiehlt sich ausreichende Verschlüsselung und digitale Authentifizierung. Diese Punkte werden im Punkt 3 genauer besprochen.

Pflichtangaben

[Bearbeiten]

Für jeden Internet-Auftritt besteht eine Pflicht zur Anbieterkennzeichnung!

Folgenden Angaben müssen leicht erkennbar, ständig verfügbar und auf jeder Internetseite mit einem Klick erreichbar sein:


• Name bzw. Firma und komplette Anschrift (Straße, Hausnummer, Postleitzahl, Ort) des Anbieters

• Informationen zur schnellen Kontaktaufnahme (Telefonnummer, Faxnummer, E-Mail-Adresse)

• Vertretungsberechtigte

• Aufsichtsbehörde und deren Kontaktdaten (wenn die Tätigkeit des Anbieters der behördlichen Zulassung bedarf)

• Register und der Registernummer (wenn der Anbieter im Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister eingetragen ist)

• Umsatzsteuer-Identifikationsnummer

• Berufsbezeichnung und der Staat, in dem sie verliehen wurde und die berufsrechtliche Regelung (bei freiberuflichen Anbietern, bei denen die Berufsausübung geregelt oder die Berufsbezeichnung geschützt ist, wie z.B. Rechtsanwälte, Ärzte oder beratende Ingenieure)

• Weitere Angaben (wenn aufgrund anderer Vorschriften weitere Informationspflichten bestehen)


Mittlerweile sollte man schon mehr bieten als nur Pflichtangaben, um das Vertrauen des Kunden zu steigern.

Was alles angegeben werden soll:


  • Kontaktdaten von Kundenbetreuern
  • Fotos von Ansprechpartnern
  • genaue Beschreibung der Artikel
  • Produktabbildungen
  • Die Möglichkeit von Produktbewertungen und Empfehlungen für Kunden
  • Einsatz einer Top-Seller Liste oder Verkaufsranking
  • Lieferfristen schon vor der Bestellbestätigung
  • Klar und deutlich ersichtliche Preise
  • Übersichtlicher und einfacher Weg zur Bestellung
  • vor Abschluss der Bestellung ersichtliche Vertragsbedingen
  • Ständige Information des Kunden über den Lieferstatus

SSL-Verschlüsselung

[Bearbeiten]

Allgemeines über SSL-Verschlüsselung

SSL steht für Secure Socket Layer („sichere Sockelschicht“) und wurde von der Firma Netscape und RSA Data Security 1994 entwickelt. Bestimmte Daten sollten beim Internetsurfen (z.B. Kreditkartendaten) verschlüsselt übertragen werden. Das SSL-Protokoll gewährleistet, dass während der Übertragung der Daten diese nicht gelesen und manipuliert werden. Dass SSL-Protokoll stellt somit die Identität einer Internetseite sicher. Kernstück der SSL-Verschlüsselung ist ein gesonderter Sicherheitsserver im Internet, der für die Verteilung der Schlüssel verantwortlich ist. Dieser Server stellt sicher, dass es für jede neue Verbindung nur genau einen Schlüssel gibt.

Das SSL-Protokoll ist erkennbar dadurch, dass dem http ein „s“ angehängt wird. Somit wird bei jedem Aufruf einer https-Seite geprüft, ob der Anbieter der Internetseite ein gültiges SSL-Zertifikat hat, ist dies nicht der Fall, wird man vom Browser mit einer Nachricht gewarnt. Bei einer Warnung des Browsers sollten man sich in jeden Fall überlegen, ob man auf diesen Seiten weitersurfen soll, da das Zertifikat entweder unbekannt oder abgelaufen ist.

Technische Funktion

Am https erkennt der Browser, dass er vom Server ein Zertifikat anfordern soll. Damit der Server dem Browser ein Zertifikat überhaupt zurückschicken kann, muss er sein Zertifikat von der Zertifizierungsstelle erhalten. Das SSL-Zertifikat besteht aus einem öffentlichen Schlüssel für die Verschlüsselung der Daten und einem privaten zum Entschlüsseln.

Anschließend meldet der Server dieses Zertifikat direkt an den Browser zurück. Der Browser erhält dann von der Zertifizierungsstelle die Information, ob das Zertifikat noch gültig ist. Anhand dieser übermittelten Daten kann der Browser nun überprüfen, ob er wirklich mit dem Server verbunden ist, der in der URL angegeben ist. Ist das der Fall, signalisiert der Browser eine sichere Verbindung.


Das SSL-Protokoll bewirkt somit eine sichere Verbindung:

  • Die Daten sind vertraulich, weil der Inhalt der Nachrichten nur verschlüsselt über das Netz geht.
  • Die Glaubwürdigkeit des Servers steht fest.
  • Die Daten sind vor Manipulation geschützt, da wirkungsvolle Algorithmen prüfen, ob die Daten vollständig und unverändert ihren jeweiligen Empfänger erreichen.

SSL klinkt sich im OSI-Schichtenmodell zwischen der Transportschicht (TCP) und der Anwendungsschicht (HTTP oder SMTP) ein.


Inzwischen hat sich SSL als Standard für die Browserverschlüsselung etabliert. Mittlerweile wird aber auch schon Transport Layer Security (TLS) verwendet. TLS basiert auf dem noch komplizierteren Verschlüsselungsverfahren Triple-DES oder anderen Algorithmen. Es unterstützt die Verschlüsselung von E-Mails und den Identitätsnachweis für kommerzielle Online-Transaktionen.


Wichtige Verschlüsselungsalgorithmen


Triple DES (Data Encryption Standard) Ist eine Erweiterung des DES (56-Bit-Schlüssel), bei der das Verfahren zwei - bzw. dreimal hintereinander durchlaufen wird: Verschlüsselung mit Schlüssel 1

Entschlüsselung mit Schlüssel 2

Verschlüsselung mit Schlüssel 1 bzw. 3.

Dadurch wird der DES-Schlüssel auf 168 Bit vergrößert. w:Triple DES ( Triple DES)


AES (Advanced Encryption Standard) ist ebenso wie DES ein symmetrisches Verfahren und wurde als Nachfolger von DES dekliniert. AES bietet variable Schlüssellängen bis zu 256 Bit. Da der Algorithmus nicht patentiert ist, ist der Einsatz von AES kostenlos. Bei diesen Verfahren überträgt der Server eine Nachricht, die vom Client korrekt verarbeitet und zurückgeschickt werden muss, um die Identität des Anwenders sicherzustellen. w:AES ( AES)


Der Algorithmus CAST arbeitet mit 64-Bit-Blocklänge und einer anfänglichen Schlüssellänge von 40 bis 128 Bit. CAST wurde 1996 zum Patent angemeldet, darf aber frei verwendet werden. Insbesondere wegen seiner höheren Geschwindigkeit im Vergleich zu DES eignet sich CAST auch für Echtzeitanwendungen. In der Zwischenzeit beherrscht auch CAST eine Schlüssellänge von 256 Bit. w:CAST ( CAST)


Der Verschlüsselungsalgorithmus Blowfish ist ein weit verbreitetes Sicherheitsverfahren. Blowfish ist ein nicht patentierter Algorithmus, ver- und entschlüsselt Daten mit hoher Geschwindigkeit. Die Länge kann bis zu 448 Bit betragen. Blowfish

In der Praxis sind allerdings vor allem SSL 3.0 und TLS 1.0 im Einsatz.


Zertifikate

Der wichtigste Bestandteil einer SSL-Verbindung ist das Zertifikat, das vom Server geschickt wird. Es ist wichtig, dass das Zertifikat identifizierbar ist. Es muss eine Zertifikatsvergabestelle geben, die für die Echtheit des Zertifikats garantiert. Man kann diese Zertifikate zu verschiedensten Preisen bei den Zertifizierungsstellen kaufen. Man kann aber auch das Zertifikat beim Hoster erwerben.

Die bekannteren Zertifizierungsanbieter verkaufen ihre Zertifikate relativ teuer, es macht aber keinen Unterschied ob man das Zertifikat von einem bekannten oder weniger bekannten Anbieter kauft. Es ist nur wichtig, dass jeder Anbieter im Browser bekannt ist, ist das nicht der Fall, sollte man diese als nicht sehr vertauensfördernd wahrnehmen.


Beschränkungen

Neben der Zertifikatsstelle gibt es noch vier weiter Beschränkungen:

  • Ein Zertifikat ist immer an eine IP gebunden. Das bedeutet, eine IP kann nur genau ein Zertifikat besitzen.
  • Ein Zertifikat kann nur auf eine Subdomain ausgestellt werden.
  • Ein Zertifikat wird nur auf ein Jahr ausgestellt.
  • Je länger der Zertifikatsschlüssel, desto stärker wird der Webserver gefordert. Deswegen wird oft ein Kompromiss gewählt und z.B. das Login gesichert, die Übertragung der Daten aber nicht.

Aus Sicherheitsgründen ist das sehr bedenklich, denn es geht nicht nur um das Auslesen der Daten, sondern auch um eine eventuelle Manipulation.


Einrichtung auf dem Server

Die Einrichtung von SSL-Zertifikaten auf dem Server erfolgt durch verschiedenste Software, die Internet zum Herunterladen angeboten werden. Hoster erledigen teilweise die Einrichtung direkt. Für den eigenen Server hängt das Vorgehen natürlich vom Webserver und vom Einsatzzweck ab.

Wenn Sie ein neues Zertifikat anlegen, erhalten Sie vom Server einen so genannten CSR (Certificate Signing Request). Diese verwendet dann die Zertifizierungsstelle, um das Zertifikat zu erzeugen.

Kostenfaktor

Die Kosten betragen je nach Hoster oder Zertifizierungsstelle 50 bis 150 Euro im Jahr. Der Webspace braucht aber noch eine eigene IP und die Beschränkung auf eine Subdomain, dies verursacht weitere Kosten.

Sichere Passwörter

[Bearbeiten]

■ Warum sollte man sichere Passwörter benutzen?

In großen Netzwerken geht es meist gar nicht darum, ob die eigene Privatsphäre hinreichend geschützt ist, sondern schlicht und ergreifend darum, dass das Firmen-Netzwerk geschützt ist.

■ Wann ist ein Passwort unsicher?

Erstens ist ein Passwort dann unsicher, wenn es zu kurz ist, beispielsweise nur aus 2-3 Zeichen besteht. Zweitens gilt es als unsicher, wenn der Aufbau zu einfach ist, zum Beispiel wenn es aus 5 gleichen Buchstaben besteht. Drittens sollte es schwer zu erraten sein, also kein nahe liegender Begriff wie eine Telefonnummer etc.

■ Wie schaffe ich ein sicheres Passwort?

Als Passwort empfiehlt sich eine Mischung aus Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen. Es sollte keine (wahrnehmbare) Systematik enthalten und wenigstens 8 Zeichen lang sein. Weiters sollte es kein Wort einer bekannten Sprache sein (z. B. Englisch, Deutsch oder Französisch). Außerdem sollte das Auswendiglernen keine Schwierigkeiten bereiten, denn wer z.B. in Anwesenheit anderer Personen ein Passwort eingeben muss, sollte das unauffällig und schnell tun können. Weitere Regeln sind, für zwei Accounts nie dasselbe Passwort benutzen, Passwörter alle 30 Tage wechseln und nirgendwo aufschreiben. Gute Passwörter sollten einen Mittelweg zwischen nicht erratbaren und merkbaren Zeichenfolgen darstellen!

■ Alternativen

Die beste Alternative ist natürlich ein Passwort, das nur einmal gültig ist. Solche Einweg-Passwörter zu knacken ist fast unmöglich: „Sie sind meist 15-stellig und besitzen Zeichen und Ziffern gleichermaßen — in Groß- und Kleinschreibung. Das Problem bei dieser Methode ist ein ganz anderes: die zeitliche Abstimmung mit dem Server. Wenn man z. B. eine langsame Internet-Anbindung hat oder in einem ungünstigen Augenblick versucht, sich einzuloggen, kann es durchaus passieren, dass das Passwort schon wieder ungültig ist.“1

Treuhandservices

[Bearbeiten]

Bei bestimmten Transaktionen im Internet ist es möglich, so genannte Treuhand-Services zu nutzen. Der Käufer zahlt einen vereinbarten Teil des Kaufpreises auf ein Konto bei einer Bank oder einem anderen Treuhänder ein. Dieser Betrag dient dem Käufer als Sicherheit, auf die er bei Mängeln der gekauften Ware zugreifen kann. Nach Ablauf der Gewährleistungsfrist wird der (restliche) Betrag an den Verkäufer ausgekehrt. Dieses Verfahren wirkt sich vor allem sehr positiv auf das Vertrauensgefühl des Kunden aus.

Problembewusstsein

[Bearbeiten]

Die meisten Firmen ergreifen heute schon die Basisschutzmaßnahmen und haben auch die Notwendigkeit regelmäßiger Updates (Antiviren-Software, Patches) erkannt. Oft aber sind die Maßnahmen zu stark technik-getrieben. Außerdem fehlt es oft an einer ganzheitlichen Sicherheitspolitik, hinter der alle Firmenetagen stehen. IT- Security wird zu oft noch als ‚Chefsache’ abgetan. Die größte Sicherheitslücke ist also oft das fehlende Sicherheitsbewusstsein bei den Mitarbeitern.

Quellen

[Bearbeiten]

2.2.: vgl. Anmann, Ralf: Access denied! In: internet WORLD. Für Internet Professionals Nr. 10/2005; S. 58-60) und http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/

1: Quelle : http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/

2.3. : vgl. http://de.wikipedia.org/wiki/Escrow#Wortherkunft

2.4.: http://www.securityxchange.de/download/IT-Security_2003_download.pdf, Download am 5.1.08

Plfichtangaben: http://www.html-world.de/program/ecom_7.php; http://www.online-handbuch.uni-bremen.de/article.php?id=205

http://www.stern.de/computer-technik/internet/507777.html?eid=506366

SSL-Verschlüsselung: e-commerce Magazin 01/06; http://www.testticker.de

http://mi.imsd.uni-mainz.de/prjb/ServerSSL.html; http://www.datensicherheit.tu-berlin.de


Feedback:

Inhalt

  • Sehr gut - keine Einwände, gibt einen guten Überblick sowohl in notwendigen Breiten als auch Tiefe.

Allgemeine Hinweise

Diese Anmerkungen sind nicht spezifisch auf eure Ausarbeitung bezogen. Sie beziehen sich auf durchgehend auftretende Probleme, die noch behoben werden müssen. Bitte prüft eure Artikel kritisch, ob die hier angeführten Punkte zutreffen und bringt entsprechende Überarbeitungen an.

  • Bitte beachtet die von den Administratoren auf unserer Startseite angebrachten Hinweise, vor allem bezüglich Bilder und Plagiate. Dies ist ein wie erwähnt ein sehr kritisches Thema. Überlegt, wo Bilder notwendig sind und zeichnet sie ggf. neu, bevor ihr sie einbindet.
  • Wörtliche Zitate sind deutlich zu kennzeichnen, d.h. zumindest durch ein Setzen in Anführungszeichen und/oder durch Kursiv-Setzen. Das Übernehmen ganzer Absätze oder sogar Abschnitte ist nicht im Sinne unserer Aufgabenstellung und sollte nach Möglichkeit vermieden werden. Bitte versucht, in eigenen Worten zu formulieren.
  • Alle Inhalte, die wörtlich oder inhaltlich aus anderen Quellen übernommen wurden, sind zu als Zitate zu kennzeichnen. Verwendet dazu die hierfür vorgesehene Wiki-Auszeichnung <ref> wie in der Editieranleitung beschrieben. Entsprechend ist am Ende des Kapitels ein Abschnitt Quellen einzufügen, unter dem mittels des Befehles <references/> automatisch das Quellenverzeichnis erstellt wird.
  • Wenn ihr Begriffe verwendet, bei denen nicht davon ausgegangen werden kann, dass sie allgemein bekannt sind, erklärt diese gesondert oder verlinkt einfach auf eine externe Begriffserklärung (etwa in der Wikipedia).

-- OpplSt 22:29, 18. Jan. 2008 (CET)