Sie sind auf Seite 1von 36

Referat zum Thema

Sicherheit im Netz

Auf der Grundlage des vierten Zwischenberichtes der Enquete-Kommission “Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft”

Dortmund, 21. June 1999

von:

Karsten Sommer Matkel-Nr. 44919 Am Kreuzloh 19 44357 Dortmund

Betreuer:

Prof. Joachim Biskup

Lehrstuhl Fachbereich Informatik Universität Dortmund

Sommersemester 1999

Referat zum Thema “Sicherheit im Netz”

0. Inhaltsverzeichnis

0. Inhaltsverzeichnis

1

1. Einleitung

2

2. Die Enquete-Kommision

3

3. Sicherheit in der Informationstechnik (IT)

5

3.1

Warum braucht man IT-Sicherheit?

6

3.1.1

Zusammenhang zwischen IT-Sicherheit und Datenschutz

9

3.2

Bedeutung der IT-Sicherheit

10

3.2.1 Risikokategorien

10

3.2.2 Wirtschaft

12

3.2.3 Politik

14

3.3

Technische Möglichkeiten für die IT-Sicherheit

15

3.3.1

Ansatzpunkte für IT-Sicherheit

15

3.3.1.1 Das Betriebssystem

15

3.3.1.2 Die Anwendungsprogramme

16

3.3.1.3 Datenformate

16

 

3.3.2

Schutzstrategien für IT-Sicherheit

17

3.3.2.1 Geprüfte IT-Sicherheit

17

3.3.2.2 IT-Grundschutz

22

3.3.2.3 IT-Sicherheitsausbildung

22

3.3.2.4 Schutz vor Angriffen aus dem Internet

22

3.3.2.5 Kryptographie

23

4.

Datenschutz in der IT

24

4.1 Bedeutung und Notwendigkeit

24

4.2 Was ist Datenschutz?

24

4.3 Daten und Risiken in der IT

25

4.3.1 Anstieg von personenbezogenen Daten

25

4.3.2 Risiken in der IT

26

 

4.3.2.1

Der Begriff “Risiko” in der IT

27

4.4

Möglichkeiten zum Datenschutz

27

4.4.1 Selbstschutz

27

4.4.2 Systemdatenschutz

28

4.5

Empfehlung der Enquete-Kommission zum Thema

29

5.

Straftaten in der Informationsgesellschaft

31

5.1

Begriff der Kriminalität im Netz

31

5.1.1

Delikte

31

5.1.1.1 Wirtschaftsdelikte

32

5.1.1.2 Verbreitungsdelikte

32

5.1.1.3 Persönlichkeitsrechtsverletzung

33

 

5.1.2

Täter

33

6. Resüme

34

7. Anhang

35

7.1 Literaturverzeichnis

35

7.2 Tabellenverzeichnis

35

7.3 Abbildungsverzeichnis

35

Referat zum Thema “Sicherheit im Netz”

1. Einleitung

In der vorliegenden Ausarbeitung werde ich versuchen, die Hauptaspekte (aus meiner Sicht) aus dem vierten Zwischenbericht der Enquete-Kommission mit dem Thema “Sicherheit und Schutz im Netz” herauszuarbeiten. Zuerst werde ich einige Informationen zur Enquete-Kommission aufzeigen, d.h. ich werde deren Ziele und Aufgaben erklären. Des weiteren werde ich einige Punkte zum Thema “Sicherheit in der Informationstechnik (IT)” darstellen. Hier werde ich versuchen, die Frage, warum man IT-Sicherheit braucht, zu beantworten, und ihre Bedeutung für die Wirtschaft und die Politik, sowie Möglichkeiten für IT-Sicherheit und die rechtlichen Grundlagen erläutern. Mein Hauptaugenmerk wird auf diesem Kapitel zum Thema “Sicherheit in der IT” liegen, um, so hoffe ich, einen weitreichenden Einblick in die Bedeutung, die Aufgaben und die Möglichkeiten der IT-Sicherheit zu geben. In zwei kleineren Kapiteln werde ich kurz die Themen “Datenschutz in der IT” und “Strafrecht” ansprechen. Bei meinen Ausführungen beschränke ich mich auf den vierten Zwieschenbericht der Enquete-Kommission.

Referat zum Thema “Sicherheit im Netz”

2. Die Enquete-Kommision

Am 31.01.1996 nahm die vom Bundestag eingesetzte Enquete-Kommision “Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationgesellschaft” ihre Arbeit auf. Die Enquete-Kommision beschäftigt sich mit zahlreichen Themen im Zusammenhang mit Informations- und Kommunikationstechnologie, so zum Beispiel mit den Veränderungen in Wirtschaft und Gesellschaft, welche durch die rasante technische Entwicklung hervorgerufen werden. Unter anderem erstellte die Kommision Zwischenberichte zu den Themen Regulierungsbedarf, Urheberrecht, Jugendschutz und Verbraucherschutz. Die Enquete-Kommision besteht aus 12 Mitgliedern des Bundestages und 12 Sachverständigen. Anlaß zur Einrichtung der Kommision ist die schnelle Entwicklung in der Informationstechnik, welche einen erheblichen Einfluß auf die Gesellschaft, Wirtschaft und Politik hat. Die Themenstellung ist in 6 Arbeitsschwerpunkte unterteilt:

1. Wirtschaft

2. Technik

3. Bildung

4. Umwelt und Verkehr

5. Gesellschaft

6. Parlament, Staat und Verwaltung

Die Untersuchungsergebnisse der Kommission bilden die Grundlagen für die Handlungsgebiete in den folgenden Themenbereichen:

• Schaffung eines ordnungspolitischen und rechtlichen Rahmens für die Informationsinfra- struktur

• Schaffung geeigneter Rahmenbedingungen, die eine optimale Nutzung der Technologie in verschiedenen Bereichen zulassen. Optimal bedeutet in diesem Zusammenhang das die mit der Technologie verbundenen Risiken und Nachteile, für die Benutzer, minimiert werden.

• Sicherung eines funktionsfähigen Wettbewerbs

• Sicherung von Meinungsvielfalt und Informationsfreiheit

• Datenschutz und Datensicherheit

Referat zum Thema “Sicherheit im Netz”

• Jugend- und Verbraucherschutz

• Urheberrecht

Wenn zu einem bestimmten Bereich eine schnelle Entscheidung getroffen werden muß, erstellt die Kommission entsprechende Zwischenberichte mit Empfehlungen. Dadurch werden dem Bundestag Handlungsperspektiven gegeben. Ihre Erkenntnisse gewinnt die Kommission aus Arbeitssitzungen, Workshops, Anhörungen und wissenschaftlichen Gutachten.

Referat zum Thema “Sicherheit im Netz”

3. Sicherheit in der Informationstechnik (IT)

Eine moderne Gesellschaft ist in hohem Maße von der Funktionsfähigkeit ihrer Infrastruktur

abhängig. Durch die Entwicklung zur Informationsgesellschaft erreichte die Informations- und

Kommunikationstechnik zunehmende Bedeutung. Diese neuen Techniken werden mittlerweile

in allen Lebensbereichen eingesetzt, wie folgende Tabelle zeigt.

Tabelle 1: Anwendungsfelder der IuK-Technik

Anwendungsbereich

Anwendungsart

Erziehung, Bildung und Ausbildung

Berufsbegleitende Veranstaltungen (zum Beispiel aus dem Bereich der Speditionen, dort werden regelmäßig Seminare zu Brückenverwaltungsprogrammen veran- stalltet), private/schulische Information und Kommu- nikation

Konsumorientierte

Tele- und Homeshopping, Telemarketing, Werbung, Finanzdienstleistungen, individualisierte Publikationen

Dienste

Freizeit, Unterhaltung

Bibliotheken, Rundfunk, Fernsehen, Pay-TV, interak- tives Fernsehen, Museen, Konzerte, Spiele,

Gesundheitswesen

Beratung, Ferndiagnose, Überwachung, Operationen, Vorbeugung, Notfallnutzung bei Krankheiten, Unfall, Katastrophen,

Wissenschaft und For- schung

Teleteaching, Telelearning, Universitätsvernetzung

Verwaltung

Behördenaktivitäten wie Umweltschutz (Überwachung, Steuerung), Wahlen, Abstimmungen, Bürgerbegehren, Befragungen

Steuerungsaufgaben

Gebäudesteuerung (Facility-Managment), Verkehrs- steuerung, Fabriksteuerung

Überwachungsauf-

Produktion, Reparaturen, Fernwartung

gaben

Die Vernetzung, welche die Grundlage der neuen Technik ist, bezieht sich nicht nur auf

einzelne Bereiche und Unternehmen, in Form von LAN´s oder Intranets, sondern auch auf eine

Vielfalt von unterschiedlichsten Benutzern eines weltweiten Computernetzwerks wie dem

Internet. Ursprünglich war das Internet ein Netzwerkprojekt mit militärisch-wissenschaftlichem

Referat zum Thema “Sicherheit im Netz”

Hintergrund, doch durch die Entwicklung einer einfach zu bedienenden grafischen Benutzeroberfläche und der entsprechenden Förderung wurde das Internet zu einem Massenmedium und breitete sich rasant aus. So wurden im Jahr 1995 24 Millionen Internet- Nutzer gezählt, 1996 waren es bereits 50 Millionen, 1996 gab es 300000 Web-Server, 1998 waren es bereits 3 Millionen. Und die Anzahl der Benutzer und Server steigt weiter, sie steigt sogar exponetiell an, wie aus der folgenden Grafik deutlich wird.

exponetiell an, wie aus der folgenden Grafik deutlich wird. Abbildung 1: Anzahl der Web-Server 3.1 Warum

Abbildung 1: Anzahl der Web-Server

3.1 Warum braucht man IT-Sicherheit?

Da die Nutzung und auch die Abhängigkeit von der Verfügbarkeit der Informationstechnik zunehmend wachsen, kann man leicht verstehen, daß der Weg in die Informationsgesellschaft auch mit neuen Risiken und Bedrohungen verbunden ist. Umso größer diese Abhängigkeit wird, desto mehr gewinnen informationstechnische Sicherheit und Datenschutz (siehe Kap. 3.1.1) an Bedeutung und werden somit zu einem infrastrukturellen Fundament für die Informationsgesellschaft. Die Diskussion um die Sicherheit der Informations- und Kommunikationssysteme ist national und international sehr vielfältig. Sie reicht von den unterschiedlichsten Sicherheitsbedürfnissen der Nutzer über die Fehleranfälligkeit der benutzten Systeme und kryptographischen Verfahren bis hin zur Gestaltung von Infrastrukturen. So wird die Sicherheit von IT-Anwendungen auch durch unterschiedliche

Referat zum Thema “Sicherheit im Netz”

Aspekte beeinflußt:

• technische Sicherheit: die informationstechnische Sicherheit der eingesetzten Hard- und Software, d.h. die Eigenschaften der Systeme, sich verläßlich zu verhalten, gegen unab- sichtliche und absichtliche Angriffe auf die IT-Sicherheit resistent zu sein, sie zu erkennen, abzuwehren, und nachvollziehbar machen zu können;

• Anwendungssicherheit: IT-Sicherheit als Leistungsmerkmal von IT-Systemen, die eine sorgfältige und verläßliche Nutzung der Systemkomponenten ermöglicht;

• oganisatorische Sicherheit: die an Sicherheit und Datenschutz orientierte Gestaltung der Informations- und Datenflüsse in einer Organisation;

• personelle Sicherheit: die Fähigkeit und Bereitschaft der beteiligten Personen, im Sinne der informationstechnischen Sicherheit zu handeln.

Als Ziele für den sicheren Einsatz von Informations- und Kommunikationstechniken gelten unter anderem Vertraulichkeit, Integrität, Verfügbarkeit und Zurechenbarkeit. Somit braucht man, um die neuen Sicherheitsrisiken zu beherrschen, einen zusammenwirkenden Handlungsmix von technologischen, organisatorischen, rechtlichen, sozialen und kulturellen Regelungen. Dabei ist die IT-Sicherheit keine konstante Größe oder ein erreichter bzw. zu erreichender Endzustand, sondern ein ständiger Prozeß, eine Wechselbeziehung zwischen Zweckrealisierung, Bedrohung, Gefahrenabwehr, Akzeptanz und Vertrauen. In diesem Kontext soll IT-Sicherheit die Akzeptanz der neuen Informations- und Kommunikationstechniken in Bevölkerung und Wirtschaft festigen, denn eine allgemeine Nutzung der neuen Medien setzt voraus, daß diese sicher sind und die Benutzer vor negativen Folgen schützen. Die folgenden Beispiele sollen verdeutlichen, warum man IT-Sicherheit benötigt:

• Durch einen Computerfehler geriet eine Bank in Zahlungsschwierigkeiten. Sie mußte einen Sonderkredit von zwanzig Milliarden Dollar aufnehmen und dafür in kurzer Zeit fünf Mil- lionen Dollar Zinsen zahlen.

• Die Fernvermittlungsstelle einer deutschen Großstadt fiel durch einen Softwarefehler zwei- mal aus, über 100000 Teilnehmer waren jeweils für mehrere Stunden von der Außenwelt abgeschnitten.

• Bei einer internationalen Großbank in Frankfurt hat ein DV-Systemberater gemeinsam mit

Referat zum Thema “Sicherheit im Netz”

einer weiteren Person betrügerisch einen Betrag von 2,8 Millionen US-Dollar über das “Electonic Banking” erlangt.

• Die nachrichtendienstlichen Organe der ehemaligen DDR haben den über Rundfunk und Satelliten geführten Fernmeldeverkehr systematisch - mit Unterstützung von Computern - abgehört und dabei Gerätekennungen und Paßwörter erfaßt. Mit diesen Kenntnissen sind Zugriffe auf Informationen der IT-Systeme in Behörden und Wirtschaft erfolgt.

• Ein gekündigter Programmierer modifizierte ein häufig benutztes Programm derart, daß in einer zenntralen Datenbank zufällige Veränderungen vorgenommen wurden. Die Manipula- tion wurde erst nach zwei Jahren zufällig entdeckt. Die Rekonstruktion der Datenbank kostete 1,2 Millionen DM.

• Durch die Presse ging ein Fall, bei dem ein Programmfehler tödliche Folgen hatte. Weil die Software des radio-therapeutischen Bestrahlungsgeräts Therac die Strahlung für Krebs- patienten in US-Kliniken falsch dosierte, starben 1987 zwei Menschen.

Aber die Störanfälligkeit von IT-Systemen stellt nicht das einzige Risiko dar. Ein weiteres Risiko entsteht durch die globale Vernetzung; so wächst die Gefahr eines Befalls mit Computerviren und das Risiko eines ungewollten Zugriffs von außen auf das eigene IT-System durch Dritte. Dazu einige Beispiele:

• In einem internationalen Netzverbund wurde die lawinenartige Vermehrung eines Pro- grammes entdeckt, das infolge seines hohen Rechenzeit- und Speicherplatzverbrauchs die Verfügbarkeit der befallenen Rechner drastisch reduzierte. Der “Internet-Wurm” hatte einige tausend Rechner befallen. Der Aufwand zur Wiederherstellung der Systeme wurde auf 100 Millionen US-Dollar geschätzt.

• Deutsche “KGB-Hacker” haben sich einiger Rechner und der weltumspannenden elektro- nischen Datennetze bedient, um in Rechner in den USA einzudringen. Die dort aus- gespähten Informationen wurden an den sowjetischen Geheimdienst verkauft.

Man erkennt deutlich, daß der Verlust, die Manipulation oder der Diebstahl von Daten nicht nur finanzielle Schäden hervorrufen und die organisatorische Funktionsfähigkeit eines Unternehmens zerstören, sondern auch unbeteidigten Dritten erheblichen Schaden zufügen

Referat zum Thema “Sicherheit im Netz”

3.1.1 Zusammenhang zwischen IT-Sicherheit und Datenschutz

IT-Sicherheit und Datenschutz kann man nicht als streng getrennte Bereiche sehen, vielmehr stehen diese beiden Themenbereiche in einer ständigen Wechselwirkung zueinander. Das heißt, daß die IT-Sicherheit die Auflagen durch den Datenschutz erfüllen muß, aber gleichzeitig der Datenschutz den Anforderungen der IT-Sicherheit gerecht werden muß. Daher sind viele Bestandteile der IT-Sicherheit ebenfalls Bestandteil des Datenschutzes und umgekehrt. Der Datenschutz ist dabei die gesetzliche Umsetzung des Bedürfnisses nach Sicherheit, während IT-Sicherheit die technische Umsetzung der Sicherheit ist. Die IT-Sicherheit beinhaltet dabei Kriterien zur Bewertung, Modellierung, Produktion und Betrieb von IT- Techniken (Soft- und Hardware).

Referat zum Thema “Sicherheit im Netz”

3.2 Bedeutung der IT-Sicherheit

In einigen wichtigen Bereichen möchte ich nun mögliche Risikopotentiale aufzeigen. Ich werde

mich dabei auf die Bereiche Wirtschaft und Politik beschränken, vorher möchte ich aber noch

einige Ursachen für Störungen in IT-Systemen darstellen.

3.2.1 Risikokategorien

Grundsätzlich lassen sich die Ursachen von Störungen und Ausfällen in drei Kategorien

unterteilen. Diese werden in der Tabelle 2 dargestellt.

Tabelle 2: Ursachen für Störungen und Ausfälle von IT-Systemen

 

Kategorie

Ursache

1. Systemimmanente Fehler

• Fehler der Hardware

• Fehler in der Software (auch im Sinne mangelnder Bedienungsfreundlichkeit bzw. mangelnder Robustheit gegenüber Fehlbedienungen)

• Grundsätzlicher Mangel an IT-Sicherheit in offenen Netzen, beispielsweise dem Internet

2. Fehler bei der Einrichtung und

• Fehler beim IT-Systemschutz (etwa mangelhafte Zugangskontrolle und Abschottung gegenüber Drit- ten, aber auch mangelhafte Sicherung von wichtigen Datenbeständen)

• Fehler bei der Bedienung von IT-Systemen

Bedienung von IT-Systemen

• Mangelndes Problembewußtsein

3.

Bewußte Manipulation von

• Bewußte Manipulation von Daten und IT-Systemen

IT-Systemen und Angriffe von Außen

• Angriffe von Außen in IT-Systemen mit dem Ziel des Eindringens, Ausspähens und Manipulierens

Bei diesen Kategorien fällt auf, daß es noch einen weiteren wichtigen Fehlerfaktor zusätzlich

zu dem System (Soft- oder Hardware-Anomalien) oder Dritten (die eindringen oder

manipulieren wollen) gibt, man muß auch den Faktor “Mensch” beachten. So erstellt die

Zeitschrift für Kommunikations- und EDV-Sicherheit (KES) zusammen mit UTIMACO in

regelmäßigen Abständen Studien zum Thema “Sicherheitssituation von DV-Anwendungen”.

Referat zum Thema “Sicherheit im Netz”

Die wichtigsten Ergebnisse der KES-ULTIMACO-Sicherheitsstudie 1996 werden im folgenden dargestellt. An dieser Studie nahmen 183 Unternehmen teil.

• Irrtum und Nachlässigkeit von Mitarbeitern, software-bedingte technische Defekte und Software-Anomalien gelten neben den hardware-bedingten technischen Defekten unverändert als die schwerwiegendsten Gefahrenbereiche.

• Irrtum und Nachlässigkeit von Mitarbeitern, software-bedingte technische Defekte und Software-Anomalien werden in Zukunft noch größere Bedeutung für die Informations- sicherheit erlangen. Hardware-bedingte technische Defekte werden dagegen abnehmen.

• Nur ein Drittel der Firmen hält die Informationssicherheit im eigenen Haus für gut. Infor- mationssicherheit ist in den Unternehmen nicht unbedeutend, hat aber doch in vielen Unternehmen keinen vorrangigen Stellenwert.

• Das größte Hindernis für die Verbesserung der Informationssicherheit liegt in einem Man- gel an Sicherheitsbewußtsein, fehlenden kompetenten Mitarbeitern und Geldmangel.

• Obwohl viele Schutzmöglichkeiten und Sicherheitsmaßnahmen angeboten werden oder in den Unternehmen bereits verfügbar sind, werden sie doch vielfach erstaunlich wenig genutzt.

Um diesen Risikofaktoren zu begegnen wurden Kriterien zur Bewertung und Gestaltung von IT-Systemen aufgestellt. Diese Kriterien gelten als anerkannte IT-Sicherheitsziele und dienen in Politik, Wirtschaft und Wissenschaft als Handlungsorientierung. Die folgenden vier Punkte bilden dabei die Grundlage für Sicherheitskonzepte.

• Vertraulichkeit: als die Sicherheit vor der ungewollten Einsichtnahme in Informationen.

• Integrität: als die Eigenschaft eines Systems, die besagt, daß es nur erlaubte und intendierte Veränderungen der in ihm enthaltenen Informationen zuläßt. Eine Information ist integer, wenn an ihr nur zuverlässige Veränderungen vorgenommen werden.

• Verfügbarkeit: als die Vermeidung ungewollter Zurückhaltung von Informationen oder Systemressourcen.

• Authentizität: als die Übereinstimmung der behaupteten Identität mit der tatsächlichen.

Als weitere wichtige Bausteine können noch zwei Punkte genannt werden, diese setzen die Einbeziehung der Sicherheitskonzepte bei der Produktion und dem Vertrieb von IT-Produkten

Referat zum Thema “Sicherheit im Netz”

voraus. Das heißt, daß die Industrie realisieren muß, daß Sicherheit keine lästige Pflicht ist, sondern Voraussetzung für eine breite Akzeptanz unter den Anwendern. Somit kommt man zu folgenden ergänzenden Punkten:

• IT-Sicherheit als funktionaler Bestandteil von IT-Systemen,

• Gewährleistung von IT-Sicherheit auf der Seite der Dienstanbieter.

In diesen beiden Punkten geht es darum, IT-Anwender, IT-Hersteller und IT-Dienstanbieter für die Frage der IT-Sicherheit zu sensibilisieren. Des weiteren sollen Maßnahmen zur Verbesserung der IT-Sicherheit von IT-Produkten aufgezeigt werden, die in breiter Anwendung die IT-Sicherheitszertifizierung fördern, um IT-Komponenten auf Sicherheit zu überprüfen und somit ihre Vertrauenswürdigkeit bestätigen zu können.

In den Punkten “Vertraulichkeit”, “Integrität” und “Authentizität” wird auch der Bezug zum Datenschutz deutlich. Um zum Beispiel die Vertraulichkeit zu gewährleisten, müssen folgende Bedingungen erfüllt sein:

• Unbeobachtbarkeit: Eine Kommunikation muß möglich sein, ohne daß ein Außenstehender davon erfahren kann.

• Anonymität: Ein Benutzer muß die Möglichkeit haben, Informationen und Beratung zu er- halten, ohne seine Identität bekannt zu geben.

• Unverkettbarkeit: Aufeinanderfolgende kommunikative Handlungen dürfen nicht mitein- ander in Verbindung gebracht werden können, dies würde sonst die ersten beiden Punkte untergraben.

• Pseudoanonymität: Wer anonymen Benutzern kostenpflichtige Dienste anbietet, muß imstande sein, seine Einnahmen, also die Gebühren für seine Dienste, auf sichere Weise zu erhalten. Auf sichere Weise heißt, daß bei der Erhebung des Entgelds die Anonymität und die Sicherheit des Benutzers gewährt bleiben muß.

3.2.2 Wirtschaft

Die Funktionsfähigkeit und die Sicherheit eines Bankennetzes hat eine starke Bedeutung für die

Referat zum Thema “Sicherheit im Netz”

gesamte Wirtschaft. Wenn das Rechenzentrum einer Bank ausfallen würde, könnte man dies durch parallel arbeitende Systeme ausgleichen, wenn aber die Verbindung einer Bank mit dem elektronischen Interbanken-Netzwerk ausfällt, kann dies in einigen Stunden zur Zahlungsunfähigkeit dieser Bank führen, da sie elektronische Transaktionen nicht mehr ausführen kann. Man geht davon aus, daß diese Zeitspanne bei Versicherungen bei einer Woche liegt. Dieses Beispiel zeigt, wie abhängig die Wirtschaft von einem fehlerfreien datenverarbeitenden Prozeß ist. Mit diese Abhängigkeit wachsen aber auch die Risiken, die mit einem Ausfall oder einem Angriff zusammenhängen. Der Schaden der durch mangelnde IT-Sicherheit ensteht, wird weltweit mit 16 Milliarden Dollar pro Jahr beziffert. Damit wird die Bedeutung von IT- Sicherheit für die Wirtschaft als risikominderndes technisches, soziales und organisatorisches Maßnahmenpaket klar. Ein weiterer Punkt für die Wirtschaft ist die IT-Sicherheit in Bezug auf die digitalen Märkte. Der Zusammenhang besteht darin, daß die Wirtschaft erst dann das ganze Potential des “Electronic Commerce” ausschöpfen kann, wenn die Risiken durch entsprechende IT-Sicherheit gemindert werden. Das heißt, daß die IT-Sicherheit einen vertrauensbildenden Faktor bildet, ohne den Unternehmen und Verbraucher den Schritt in den digitalen Markt scheuen würden. Man braucht also IT-Sicherheit, denn eine Nichtteilnahme an diesem digitalen Markt hätte starke negative Folgen für die Wirtschaft. Zudem enstehen neue Märkte, denn durch die ansteigende Nachfrage nach IT-Sicherheitsprodukten und Dienstleistungen wird ein neuer Industriebereich geschaffen. Das Internet bietet zudem eine neue Möglichkeit des Vertriebs von Produkten; in diesem Punkt spielt auch der starke Preisverfall von Computerprodukten eine Rolle, weil dadurch immer mehr Haushalte einen Computer besitzen und Zugang zum Netz haben. Das Internet bietet die Möglichkeit, weltweit verteilte Ressourcen ohne zeitliche Einschränkungen zu nutzen. So kann man zum Beispiel nach dem preiswertesten Anbieter eines bestimmten Produkts oder einer Dienstleistung suchen, ohne seinen Schreibtisch zu verlassen, dies bedeutet eine Verringerung der Kosten. Für die Akteure ist es dabei wichtig, daß die IT-Sicherheitziele - wie sie in Kapitel 3.2.1 dargestellt wurden - realisiert werden. Duch die globale Vernetzung von Rechnern ist es möglich geworden, Preise weltweit zu vergleichen und Kunden in jedem Winkel der Welt zu erreichen. Daher bedeutet eine gute IT-Sicherheit auch einen Wettbewerbsvorteil für Unternehmen, denn ein digitaler Markt verlangt auch eine Möglichkeit der digitalen Bezahlung, dem digitalen Geld. Diese Möglichkeit der Zahlung verlangt natürlich auch nach Sicherheit, damit sie genutzt wird.

Referat zum Thema “Sicherheit im Netz”

3.2.3 Politik

Das hervortretende Merkmal der neuen Informations- und Kommunikations-Technologien ist die globale Vernetzung, dies ermöglicht den Austausch und Zugriff von Informationen ohne zeitliche oder räumliche Restriktionen. Diese Möglichkeit stellt den Kernpunkt einer Informationsgesellschaft dar. Leider ist diese Vernetzung weder von seinen technischen Voraussetzungen her sicher, noch bestehen hinreichende Möglichkeiten zum Schutz vor Angriffen, daß die Möglichkeiten zum Schutz nicht ausreichen sieht man an den zahlreichen Beispielen, in denen Computermißbrauch beschrieben wird. Um zu verstehen, daß das Internet durch seine technischen Voraussetzungen nicht sicher ist, braucht man nur den Aufbau des Internets betrachten. So besteht das Internet aus vielen einzelnen Netzen, welche mit “Bridges” und “Routern” untereinander verbunden sind, wenn zum Beispiel eine Nachricht von Punkt A an Punkt B gesendet wird, muß diese Nachricht in der Regel mehrere Netze passieren. Normalerweise leitet ein Netz eine Nachricht weiter, ohne eine Kopie zu erstellen, wenn diese nachricht nicht für dieses Netz bestimmt ist, aber es stellt auch kein Problem dar die Nachricht zu “unerlaubt” Kopieren und auszuwerten. Diese Verletzbarkeit von technisch hochentwickelten Gesellschaften in Bezug auf weltweit verteilte Datenverarbeitsprozesse und ihre Abhängigkeit von diesen, erzeugt die politische Notwendigkeit, daß IT- Sicherheitsstandards als internationale Vereinbahrungen und Verträge verbindlich durchgesetzt werden. Die Bundesregierung muß daher auf eine internationale verbindliche Regulierung der IT-Sicherheit hinarbeiten. Da es zusätzlich neue Formen der Computer- und Netzkriminalität gibt, muß hier die Politik die Rahmenbedingungen schaffen, welche eine effiziente Strafverfolgung im grenzüberschreitendem Netz ermöglichen. Zudem trägt die politische Förderung von IT-Sicherheit und die Vereinbarung international verbindlicher Standards zu einer höheren Akzeptanz von Informations- und Kommunikations-Technologien in der Gesellschaft und Wirtschaft bei. Natürlich hat der Staat nicht die Möglichkeit das gesamte eltweite Netz zu kontollieren und sollte dies aufgrund des Grundgesetzes nicht. Da aber die Politik den Schutz des Einzelnen sicherstellen muß, ist die Politik dazu angehalten, die materiellen, strukturellen, gesetzlichen und organisatorischen Voraussetzungen zum Selbstschutz zu schaffen, um somit das informationelle Selbstbestimmungsrecht zu gewährleisten.

Referat zum Thema “Sicherheit im Netz”

3.3 Technische Möglichkeiten für die IT-Sicherheit

Wenn man die technischen Möglichkeiten zur IT-Sicherheit betrachtet, braucht man hierzu zwei unterschiedliche Perspektiven:

1. Zahlreiche Sicherheitsprobleme entstehen erst durch die neue Technik. Daher stellt sich die Frage: Welche Risiken entstehen durch diese Technik und welche Möglichkeiten der Technikgestaltung gibt es?

2. Zum anderen betrachtet man Sicherheitstechniken wie Firewalls oder kryptographische Systeme, weil mit diesen erst eine gute Lösung der Sicherheitsprobleme möglich wird.

Nach Meinung der Enquete-Kommission ist die derzeitige Forschung auf dem Gebiet der IT- Sicherheit nicht soweit, daß man die Risiken umfassend abklären und erfassen kann. Daher werden hier Möglichkeiten und Aspekte zur IT-Sicherheit nur ansatzweise dargestellt, die auf keinen Fall abschließend sind.

3.3.1 Ansatzpunkte für IT-Sicherheit

So gibt es zum Beispiel Größen in einem IT-System, die entscheidenen Einfluß auf dessen Sicherheit haben. Im folgenden werden einige dieser Größen genannt:

3.3.1.1 Das Betriebssystem

Das Betriebssystem nimmt eine Sonderstellung im Bereich der Software ein. Betriebssysteme sollen die Hardwareressourcen verwalten, deren Verfügbarkeit und den ordnungsgemäßen Betrieb aufrechterhalten. Zudem bieten Betriebssysteme plattformunabhängige Schnittstellen für Anwenderprogramme, so sollten Betriebssysteme immer die ständige Kontrolle über die Hardware haben. Daraus enstehen für die Sicherheit sehr wichtige Eigenschaften:

• Das Betriebssystem besitzt eine ständige Kontrolle über die Hardware (inklusive Prozessor,

Referat zum Thema “Sicherheit im Netz”

Hauptspeicher und Preripherie);

• Sicherheitsprobleme im Betriebssystem können nicht durch Gegenmaßnahmen in den Anwendungen abgefangen werden.

Also bedeuten auch Sicherheitsprobleme im Betriebssystem eine Unsicherheit für das Gesamtsystem. Daher müssen Sicherheitsanforderungen an das Betriebssystem unbedingt erfüllt werden. Zudem soll man eine starke Trennung zwischen Betriebssystem und Anwendungsprogrammen durchsetzen und viele sicherheitsrelevanten Programmteile aus dem Anwendungsprogramm in das Betriebssystem verlagern. Somit kommen wir auch zur nächsten Größe in der IT-Sicherheit.

3.3.1.2 Die Anwendungsprogramme

Für die Anwendungsprogramme gilt “Small is bautiful”. D.h., daß man das Laufzeitverhalten exakt und eng beschreiben können muß. Es ist also notwendig, daß Anwendungen schlank und genau auf eine Aufgabe spezialisiert sind. Sogenannte “Universalprogramme”, wie sie durch den Trend zu Officeumgebungen derzeit entstehen, stellen ein Sicherheitsrisiko dar, weil man ihr Laufzeitverhalten nicht genau beschreiben kann und ihre Aufgaben sehr umfangreich sind. So soll man mit einem Programm zum Beispiel alle möglichen Arten von Dateien öffnen können. Dies ist aus Sicht der Sicherheit nicht tragbar; man muß auf jeden Fall die Möglichkeit haben, gewisse Einschränkungen zu wählen, damit nicht jede Dateiart einfach geöffnet wird. Das heißt, eine Anwendung kann zwar alle Arten von Dateien öffnen, darf dies aber nicht unbedingt.

3.3.1.3 Datenformate

Bei fast jeder Anwendung besteht das Verlangen nach Datenübertragung, daher ist es für jede Anwendung von Bedeutung, daß sie die anfallenden Daten ihrem Sinn und Zweck entsprechend interpretieren kann. Wenn eine Anwendung ankommende Daten nicht interpretiern kann, ist deren Authentizität und Integrität nicht mehr gegeben. Darunter versteht man, daß die Anwendung die Herkunft kennen sollte und die sinnmäßige Interpretation der Daten möglich

Referat zum Thema “Sicherheit im Netz”

sein muß. Also ist es für eine gute Sicherheit erforderlich, daß der Empfänger die Syntax und

die Semantik der Daten kennt. Dies setzt eine Standardisierung des Datenformats voraus, also

ein einheitliches Datenformat, in dem Daten gespeichert und durch das Netz verschickt werden.

3.3.2 Schutzstrategien für IT-Sicherheit

Die Frage nach den Möglichkeiten der Technik wird heutzutage durch Ansätze zur Reduktion

der Risiken verstanden. Diese Ansätze möchte ich kurz darstellen.

3.3.2.1 Geprüfte IT-Sicherheit

Es ist notwendig, daß die IT-Sicherheit von Produkten durch unabhängige Dritte geprüft und

bescheinigt wird. Die Evaluierung stellt einen wichtigen Baustein zum Aufbau und zum Betrieb

einer Infrastruktur für die Informationsgesellschaft dar. Viele Unternehmen nutzen die

Möglichkeit, ihre Produkte zertifizieren zu lassen, da dies eine zusätzliche Qualitätskontrolle

bedeutet, und man sich dadurch Wettbewerbsvorteile erhofft.

Die Evaluation liefert also ein Maß für die Vertrauenswürdigkeit von Produkten. Daher

entwickelte die “Information Technology Security Evaluation Criteria” (ITSEC) 1991 sieben

Stufen der Vertrauenswürdigkeit. Je höher diese Stufe ist, umso tiefer gehende und

hochwertigere Dokumente muß der Hersteller für die Evaluation bereitstellen. Die meisten

Produkte werden heute nach E2/E3 evaluiert, aber es wird eine Verschiebung nach E4/E5

erwartet. Die folgende Tabelle zeigt die Evaluierungsstufen.

Tabelle 3: Die E-Stufen der ITSEC

Stufe

Bewertungskriterien

E0

Unzureichende Vertrauenswürdigkeit

E1

Es wurden Sicherheitsziele und Sicherheitsfunktionalität durch den Entwickler definiert, eine informelle Besch- reibung des Systems (Architekturentwurf) wurde geprüft. Es finden Tests zur Überprüfung der Sicher- heitsfunktionalität durch den Entwickler statt.

Referat zum Thema “Sicherheit im Netz”

Tabelle 3: Die E-Stufen der ITSEC

Stufe

 

Bewertungskriterien

 

E2

Zusätzlich zu E1 muß, durch den Entwickler, ein Designentwurf vorgelegt werden (Feinentwurf). Die Entwicklungsumgebung wird durch eine unabhängige Stelle überprüft.

E3

Zusätzlich zu E2 muß der Hersteller den Quellcode zur Verfügung stellen.

E4

Zusätzlich zu E3 müssen, durch den Hersteller, zu den Sicherheitsvorgaben ein formales Sicherheitsmodell und zu den sicherheitsspezifischen Funktionen semiformale Spezifikationsdokumente zur Verfügung gestellt werden.

E5

Zusätzlich zu E4 muß der enge Zusammenhang zwischen

Feinentwurf

und

Quellcode,

durch

den

Entwickler,

nachgewiesen werden.

 

E6

Zusätzlich zu E5 müssen sicherheitsspezifische Funktionen und der Architekturentwurf in formaler (beweisbarer) Notation vorliegen, die konsistent mit dem formalen Sicherheitsmodell sind. Diese Dokumente werden durch den Entwickler bereitgestellt.

Die Bewertung der Produkte erfolgt dabei über die Sicherheitsfunktionen, sie stellen die

technischen Maßnahmen in einem IT-Produkt gegen Manipulation dar. Typische Beispiele für

solche Funktionen sind Identifikation, Authentisierung, Zugriffskontrolle, Beweissicherung,

Protokollauswertung und Übertragungssicherheit. Durch die Bewertung (Zertifizierung) erhält

das Produkt einen “Sicherheitswert”; es gibt folgende Sicherheitswerte:

• geringer Sicherheitswert: geringe Schutzwirkung gegenüber Manipulationen und/oder tech-

nischem Versagen, das Produkt wurde nur grob auf Korrektheit geprüft;

• befriedigender Sicherheitswert: zufriedenstellende Schutzwirkung gegenüber Manipulatio-

nen und/oder technischem Versagen, guter Korrektheitsgrad;

• guter bis sehr guter Sicherheitswert: gute bis sehr gute Schutzwirkung gegenüber Manipula-

tionen und/oder technischem Versagen, akribisch geprüfte Korrektheit;

• ausgezeichneter Sicherheitswert: praktisch nicht zu überwindbarer Schutz, extreme

Anforderungen an die Korrektheit.

Diese Sicherheitswerte werden auf zwei Bewertungen zurückgeführt, einmal auf die bereits

Referat zum Thema “Sicherheit im Netz”

erwähnten E-Stufen und zum zweiten auf die Stärke der Sicherheitsmechanismen (hoch, mittel und niedrig). Durch die Stärke der Sicherheitsmechanismen wird die Fähigkeit bewertet, direkten Attacken widerstehen zu können. Die Werte niedrig, mittel und hoch sind dabei so zu verstehen, daß die entsprechenden Sicherheitsmechanismen Schutz gegenüber Attacken mit niedrigen, mittleren oder hohen Ressourcen (Zeit, Kenntnisse, Geräte, Personen) bieten. Mit den Evaluationsstufen und dem Widerstandswert (Stärke der Sicherheitsmechanismen) kann man eine Zuordnung zum Sicherheitswert mit folgender Tabelle angeben:

Tabelle 4: Zusammenhang: E-Stufen, Sicherheitswert und Widerstandswert

Sicherheitswert

gering

befriedigend

gut - sehr gut

ausgezeichnet

Evaluationsstufe

E1

E2 - E3

E4 - E5

E6

Widerstandswert

niedrig

mittel

mittel - hoch

hoch

Aus dieser Tabelle kann man nun die erforderlichen ITSEC-Bewertungen ablesen. Wird zum Beispiel ein befriedigender Sicherheitswert benötigt, sind Produkte mit den Stufen E2 und mittel als Mindestanforderungen sinnvoll.

3.3.2.1.1 Zertifizierung durch das BSI

In der Bundesrepublik werden Produkte durch das BSI (Bundesamt fur Sicherheit in der Informationstechnik) zertifiziert. Die Zertifizierung kann durch das BSI selbst oder durch ein vom BSI bevollmächtigte Prüfstelle durchgeführt werden. Dabei können die in Abb. 2 dargestellten Produkte durch das BSI geprüft werden.

Referat zum Thema “Sicherheit im Netz”

Referat zum Thema “Sicherheit im Netz” Abbildung 2: Prüfbare Produkte Durch das BSI wird dann ein

Abbildung 2: Prüfbare Produkte

Durch das BSI wird dann ein Zertifizierungsreport erstellt. Dieser Report enthält die folgenden Kapitel:

erstellt. Dieser Report enthält die folgenden Kapitel: Abbildung 3: Zertifizierungsreport Im Report werden die

Abbildung 3: Zertifizierungsreport

Im Report werden die folgenden, für den Anwender wichtigen, Punkte behandelt. Er:

• beschreibt die Sicherheitseigenschaften des Produktes in Verbindung mit den dort aufge- führten Bedrohungen,

• gibt den Widerstandswert der Sicherheitsmechanismen an,

• gibt den Grad des Vertrauens in die Korrektheit des Produktes durch die E-Stufen an,

Referat zum Thema “Sicherheit im Netz”

• legt die Anforderungen an die Installation und die Einsatzumgebung fest,

• nennt Schwachstellen und entsprechende Gegenmaßnahmen.

Ein Zertifizierungsverfahren kann durch den Hersteller beim BSI beanträgt werden und erhält zur eindeutigen Identifizierung eine Zertifizierungsverfahrens-ID, die sich wie in Abb.4 zusammensetzt.

Abbildung 4: Zertifizierungsverfahrens-ID
Abbildung 4: Zertifizierungsverfahrens-ID

Abildung 5 zeigt typische Zertifizierungsdokumente.

Abbildung 5: Zertifizierungsdokumente

Referat zum Thema “Sicherheit im Netz”

3.3.2.2 IT-Grundschutz

Ziel eines Grundschutzes im Rahmen eines IT-Sicherheitskonzeptes ist es, durch Anwendung von geeigneten infrastrukturellen, organisatorischen, personellen und technischen Standardsicherheitsmaßnahmen ein Niveau für IT-Systeme zu schaffen, das für den mittleren Schutzbedarf (d.h. es muß eine ausreichende Sicherheit für allgemeine Anwendungen bestehen, wie sie alltäglich vorkommen) angemessen und ausreichend ist und eine Grundlage für hochschutzbedürftige IT-Systeme bieten kann.

3.3.2.3 IT-Sicherheitsausbildung

Um Sicherheitsinfrastrukturen kompetent gestalten und aufbauen zu können, ist eine solide Ausbildung notwendig. Diese Ausbildung sollte technische, organisatorische, rechtliche und soziale Aspekte der IT-Sicherheit beinhalten. Der Staat hat die Aufgabe, solche Ausbildungsmöglichkeiten (zum Beispiel an Universitäten) zu fördern und zu unterstützen.

3.3.2.4 Schutz vor Angriffen aus dem Internet

In offenen Netzen ist ein Angriff leicht möglich; hinzu kommt, daß immer mehr Menschen Zugang zum Internet haben. Die wichtigsten Mittel zur Verhinderung solcher Angriffe bestehen in einer umfangreichen Aufklärung über die Gefahren und die Aufnahme von Sicherheit als gleichrangiges Kriterium (neben Funktionalität und Leistungsfähigkeit) bei der Produktion und dem Kauf von Rechnersystemen.

Einen guten Schutz bieten zum Beispiel Firewall-Computer, diese kontrollieren den Datentransfer zwischen zwei Netzen. Durch technische und administrative Maßnahmen wird dafür gesorgt, daß jede Kommunikation über die Firewall läuft.

Referat zum Thema “Sicherheit im Netz”

Referat zum Thema “Sicherheit im Netz” Abbildung 6: Firewall-Konzept 3.3.2.5 Kryptographie Mit Hilfe der Kryptographie

Abbildung 6: Firewall-Konzept

3.3.2.5 Kryptographie

Mit Hilfe der Kryptographie werden Dokumente verschlüsselt und können dadurch durch Dritte nicht eingesehen werden. Durch diese Verschlüsselung wird das IT-Sicherheitsziel “Vertraulichkeit” erreicht. Es gibt symmetrische und asymmetrische Verfahren zur Verschlüsselung. Bei den Symmetrischen wird nur ein Schlüssel zur Kodierung und Dekodierung verwendet. Bei den Asymmetrischen werden dagegen mehrere Schlüssel benutzt, so gibt es einen privaten und einen öffentlichen Schlüssel. Dabei benutzt Anwender A den öffentlichen Schlüssel von B, um seine Nachricht zu verschlüsseln. Nach dem Empfang der Nachricht durch B, kann dieser die Nachricht mit seinem privaten Schlüssel dekodieren.

Referat zum Thema “Sicherheit im Netz”

4. Datenschutz in der IT

4.1 Bedeutung und Notwendigkeit

Durch den Fortschritt in der IT und die damit verbundene starke Ausbreitung von Netzen und der Nutzung dieser (zum Beispiel zum Internetworking), wird auch der Mißbrauch von persönlichen Daten zu einer immer größeren Gefahr. Zum Beispiel, ist der unbefugte Zugriff auf Datenbestände, die Kreditkartennummern enthalten nicht zu unterschätzen. Solche Sicherheitslücken, aber auch die damit verbundenen Ängste der Benutzer um die Sicherheit ihrer Privatsphäre sind entscheidene Faktoren, welche die Ausbreitung der Informations- und Kommunikationstechnologie behindern. Daher ist ein wirksamer Datenschutz unumgänglich. Man kann aber nicht nur die persönlichen Ängste der Benutzer als Kriterium heranziehen, denn eine Verhinderung der Ausbreitung von Informations- und Kommunikationstechnologien würde sich auch auf die Wirtschaft auswirken. So wurde zum Beispiel für den Bereich Online- und Teleshopping ein Umsatz von 60 Milliarden DM pro Jahr vorausgesagt, damit würde ein effektiver Datenschutz auch einen Wettbewerbsfaktor darstellen. Letztendlich ist ein konsequenter Datenschutz die Voraussetzung für die Akzeptanz der Informations- und Kommunikationstechnologien in der Bevölkerung.

4.2 Was ist Datenschutz?

Unter Datenschutz versteht man den Schutz des Einzelnen und seinem nach dem Grundgesetz verankertem Recht auf informationelle Selbstbestimmung. Durch den Datenschutz sollen sogenannte “personenbezogene Daten” geschützt werden, damit diese nicht zum persönlichen Nachteil des Einzelnen genutzt werden können. Personenbezogene Daten sind dabei nach dem Bundesdatenschutzgesetz “Einzelangaben über persöliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person”. Um die informationelle Selbstbestimmung einer Person zu gewährleisten, muß ein Datenschutzgesetz, nach der Rechtssprechung des Bundesverfassungsgerichts, folgende Punkte erfüllen:

Referat zum Thema “Sicherheit im Netz”

• Der betroffene Bürger muß grundsätzlich die Entscheidung darüber haben, wer seine perso- nenbezogenen Daten zu welchem Zweck verarbeiten darf.

• Er muß wissen, wer seine Daten zu welchem Zweck verarbeitet hat.

• Daten dürfen nur zu einem bestimmten, dem Bürger bekannten Zweck verarbeitet werden, und zwar auch nur innerhalb der betroffenen, datenverarbeitenden Stelle.

• Es müssen technisch-organisatorische Vorkehrungen getroffen werden, um dies zu gewähr- leisten.

• Daten dürfen nicht auf Vorrat gespeichert werden, und es darf kein Persönlichkeitsprofil gebildet werden.

• Es müssen Vorschriften zur Löschung personenbezogener Daten bestehen, um ein Recht auf Vergessen zu gewährleisten.

• Zudem muß die Datenverarbeitung durch unabhängige Stellen kontrolliert werden.

Außer den Artikeln 1 und 2 des Grundgesetzes, welche das Recht auf informationelle Selbstbestimmung gewähren, wurde auch der Artikel 10 als Grundlage für das Datenschutzgesetz herangezogen. Der Art. 10 regelt das Fernmeldegeheimnis, welches den Inhalt jedes Fernmeldeverkehrs wie auch die Umstände eines Kommunikationsvorgangs schützt.

4.3 Daten und Risiken in der IT

Durch den rasanten Fortschritt in der Informations- und Kommunikationstechnik können Daten schneller und einfacher erhoben werden; dies gilt auch für personenbezogene Daten. Dadurch entstehen nicht nur neue Arten von Daten, sondern auch neue Risiken.

4.3.1 Anstieg von personenbezogenen Daten

Durch die Kommunikation im Netz fallen in der Regel mehr personenbezogene Daten an als bei herkömmlichen Kommunikationsarten. Jeder Aufruf oder Tastenklick hinterläßt im Netz eine Datenspur, die man zurückverfolgen kann. Des weiteren kann beim Teleshopping im Internet

Referat zum Thema “Sicherheit im Netz”

registriert werden, was der Einkäufer bestellt oder welchen Teil des Angebots er wie lange betrachtet. Genauso kann man die Teilnahme an Online-Diskussionen, das Lesen einer elektronischen Zeitung oder das Intresse an Fernsehangeboten wie “pay per view” oder “Video auf Abruf” nachvollziehen. Hinzu kommt, daß auch in anderen Bereichen die Informations- und Kommunikationstechnik Einzug gehalten hat, wie zum Beispiel die Chipkarten im Gesundheitswesen. Dadurch werden sehr viele persönliche Daten über das Netz transportiert. Weitere Anwendungen der Telekommunikation sind bereits jetzt in der Entwicklung oder werden bereits eingesetzt, wie Navigationssysteme oder ein elektronisches Mautsystem. Unabhängig von der Anwendung teilt man Daten in drei verschiedene Arten ein:

1. Bestandsdaten (Stammdaten) sind Daten, die zur Identifikation des Benutzers dienen und somit dauerhaft gespeichert werden müssen. Dazu gehört zum Beispiel die Anschlußken- nung (Rufnummer, Domain-Name).

2. Inhaltsdaten sind die eigentlichen Nachrichten, wie zum Beispiel elektronische Briefe, übersandte Bilder, Telefongespräche, Beträge zu Diskussionsforen, Bestellungen und wei- tere Angaben wie Bankverbindung und Adresse beim Telekauf.

3. Verbindungsdaten sind Angaben über den Kommunikationsvorgang, dazu gehören Daten wie Zeitpunkt und Dauer der Verbindung.

4.3.2 Risiken in der IT

Durch die neuen Informations- und Kommunikationstechniken können personenbezogene Daten schneller und leichter verarbeitet werden. Zudem sind in einem globalen Netz Daten und ihre Verfügbarkeit nicht mehr lokal beschränkt, sondern können zu jedem Zeitpunkt und von jedem Ort abgefragt werden. Dadurch enstehen neue Risiken, so kann zum Beispiel durch die Datenspuren, LOG-Dateien und durch sogenannte “Packet Sniffer”, der Datenverkehr überwacht werden. Die daraus erhaltenden Daten können dazu benutzt werden dem Benutzer zu schaden. Da zum Beispiel, Mails im Internet in der Regel mehrere Computer passieren, bis sie beim Zielcomputer landen, kann man sie leicht abfangen. Normalerweise leitet ein Computer Rahmen nur weiter, wenn sie nicht für ihn bestimmt sind, aber man kann einen Computer auch so einrichten, daß er alle oder nur bestimmte Rahmen (Daten werden im Internet in sogenannten Rahmen verpackt, um sie durch verschiedene Netztechnologien senden zu

Referat zum Thema “Sicherheit im Netz”

können) kopiert. Ein weiteres Risiko besteht in der Profilbildung, denn durch das Zusammentragen einzelner Daten kann man über einen bestimmten Benutzer ein Persönlichkeitsprofil erstellen. Dieses kann dann zum Beispiel Aufschluß über das Konsumverhalten eines Benutzers geben, oder es kann ein Profil erstellt werden, das das Infomationsinteresse des Benutzers wiedergibt

4.3.2.1 Der Begriff “Risiko” in der IT

Der Begriff “Risiko” besitzt in der IT eine feste Bedeutung, Risiko ist im Kontext mit IT- Sicherheit definiert als

• eine Ansammlung der Wahrscheinlichkeiten von ungünstigen Ereignissen z.B. die Wahr- scheinlichkeit dafür, daß eine Bedrohung zur Zeit geschieht;

• der Grad der Fähigkeit mit dem Ereignis (Bedrohung) fertig zu werden z.B.die Verwund- barkeit einer Bedrohung, wenn sie sich ereignet;

• die resultierenden Konsequentzen, die sich daraus ergeben.

4.4 Möglichkeiten zum Datenschutz

Nun stellt sich die Frage, wie kann man diese Risiken minimieren und somit den Mißbrauch verhindern? Dazu gibt es mehrere Möglichkeiten.

4.4.1 Selbstschutz

Jeder Benutzer von Kommunikationssystemen sollte sich im klaren darüber sein, daß er selbst einen großen Einfluß auf die Sicherheit seiner Daten hat. Jedem Benutzer stehen heutzutage eine Vielzahl von Möglichkeiten zur Verfügung, um seine Privatsphäre zu schützen. Einige wichtige möchte ich hier kurz ansprechen:

• Kryptographische Verfahren ermöglichen einem Benutzer, seine Daten zu verschlüsseln.

Referat zum Thema “Sicherheit im Netz”

Durch entsprechende Programme kann ein Benutzer zum Beispiel seine E-Mail kodieren und somit verhindern, daß Dritte diese lesen können. Es gibt sogar Verfahren mit mehrern Schlüsseln, die eine Entschlüsselung durch Dritte so gut wie unmöglich machen.

• Anonymisierungsserver ermöglichen einem Benutzer, das Internet anonym zu nutzen. Dadurch können Datenspuren nicht bis zum Benutzer, sondern nur bis zu diesem entsprechenden Server zurück verfolgt werden.

• Identitätsschützer sind Programme, die es einem Benutzer ermöglichen, für jede Nutzung eines Dienstes eine Pseudoidentität zu erzeugen.

• Zum Schluß hat jeder Benutzer noch die Möglichkeit, die Tranzparenz der Datenerhebung und -verarbeitung zu erhöhen, indem er selbst bestimmt, welche personenbezogenen Daten übermittelt werden. Entsprechende Programme informieren einen Benutzer nach jedem Besuch eines Dienste darüber, welche personenbezogene Daten übermittelt wurden. Diese Programme lassen auch eine Einstellung der zu übermittelnden Daten zu.

4.4.2 Systemdatenschutz

Durch den Systemdatenschutz können die Maßnahmen des Selbstschutzes ergänzt werden. Unter Systemdatenschutz versteht man Vorkehrungen, die vermeiden, daß personenbezogene Daten erhoben oder verwendet werden. Dies erreicht man durch eine entsprechende Gestaltung der Systemstruktur. Systemdatenschutz wird bei der Entwicklung von Computerprogrammen, Endgeräten und Übertragungswegen mit eingebunden, dafür gibt es zum Beispiel die folgenden Möglichkeiten:

• Wenn man die Dienste eines Internetproviders in Anspruch nimmt und diese durch vorbe- zahlte Chipkarten vergütet, ist es nicht nötig, Bestands- oder Verbindungsdaten zu speichern. Dadurch kann man Bewegungsprofile vermeiden.

• Man kann einen technischen Zugriffsschutz mit Paßwörtern und genau definierten Zugriffs- rechten realisieren und darduch einen unbefugten Zugriff auf Datenbestände verhindern.

• Durch Protokollierung von Datenzugriffen kann man verbotene Zugriffe nachvollziehen und sanktionieren.

• Es sollten nur Geräte wie Modems, Rechner und Telefonapparate verwendet werden, die in Bezug auf ihre Datensicherheit- und Datenschutzfunktionen zuverlässig sind.

Referat zum Thema “Sicherheit im Netz”

4.5 Empfehlung der Enquete-Kommission zum Thema Datenschutz

• Die Kommission empfiehlt dem Gesetzgeber die Entwicklung in der Informations- und Kommunikationstechnik genau zu beobachten, um festzustellen, ob die in Deutschland bestehenden Datenschutzgesetze und Regelungen im internationalen Vergleich als sach- gerecht, wettbewerbsfördernd und den Bürgerrechten dienlich sind.

• Des weiteren sollen die Prinzipien des Datenschutzes ein fester Bestandteil von Dienst- leistungen und Produkten im Bereich der Informations- und Kommunikationstechnik sein. Entsprechende Forschungs- und Entwicklungsarbeiten sollen gefördert werden, das gilt auch für die Schaffung eines internationalen Standarts von technischen Datenschutzfunktio- nen.

• Es ist erforderlich, die zehn Regeln zum technischen und organisatorischen Schutz von per- sonenbezogenen Daten des BDSG zu überarbeiten und daraufhin zu überprüfen, ob sie der heutigen Situation genügen.

• Die in den EU-Datenschutzrichtlinien enthaltene Verpflichtung, die Möglichkeit der Selbst- regulierung in nationalen Datenschutzgesetzen einzugliedern, sollte wahrgenommen wer- den. Selbstregulierung heißt, daß sich bestimmte Verbände oder Intressengruppen eigene weiterführende Datenschutzrichtlinien auferlegen können.

• Bei der Schaffung neuer Datenschutzgesetze muß die Dynamik in der Entwicklung der Informations- und Kommunikationstechnik berücksichtigt werden, um dem Druck der Anpassung der Gesetze besser gerecht zu werden.

• Es soll eine internationale Datenschutzregelung gefördert werden. Diese soll verhindern, daß Unternehmen, welche an personenbezogenen Daten ein starkes Intresse besitzen, in Länder auswandern, die nur schwache Datenschutzgesetze besitzen.

• Die Möglichkeiten zum Selbstschutz sollen gefördert werden. Dazu muß man das Bewußt- sein über die Chancen und Risiken der neuen Informations- und Kommunikationstechniken in der Bevölkerung fördern.

• Auch sollen die Möglichkeiten des Benutzers zum Selbstschutz, zum Beispiel durch Kryp- tographie, nicht durch Gesetze eingeschränkt werden.

• Es soll geprüft werden, wie man eine freiwillige Selbstkontrolle der Datenschutzfunktionn

Referat zum Thema “Sicherheit im Netz”

von Produkten der Informations- und Kommunikationstechnik durchsetzen kann.

Referat zum Thema “Sicherheit im Netz”

5. Straftaten in der Informationsgesellschaft

Natürlich besitzen die neuen Informations- und Kommunikationstechniken nicht nur Vorteile, sondern können durchaus auch von Kriminellen genutzt werden. Den polizeilichen Kriminalstatistiken zufolge nimmt die Computerkriminalität zu. Häufige Delikte sind Computerbetrug oder Manipulation von Daten. Dieser Entwicklung muß der Gesetzgeber mit einem entsprechenden Strafrecht entgegenwirken.

5.1 Begriff der Kriminalität im Netz

In der Telekommunikation gibt es bisher keinen einheitlichen Begriff für Kriminalität. Dagegen gibt es die Begriffe “Computerkriminalität “ und computerbezogene Kriminalität, hierunter versteht man im weitesten Sinne eine kriminelle Handlung, bei denen ein Computer Mittel oder Objekt der Straftat ist. Im engeren Sinne versteht man darunter eine Straftat, bei der eine Datenverarbeitung genutzt wurde. Da aber Computer und Telekommunikation in der heutigen Zeit nicht mehr zu trennen sind, kann man eine solche Unterteilung nicht mehr treffen. Man sollte daher eine Schnittmenge zwischen Computerkriminalität und Kriminalität im Telekommunikationsnetz bilden, um eine sinnvolle Untersuchung der Straftaten zu gewährleisten. Dadurch werden Straftaten erfaßt, bei denen sich der Täter sowohl Computertechnik, wie auch Telekommunikationstechnik zu nutze macht.

5.1.1 Delikte

Es

Telekommunikationskriminalität Unterteilung vorgestellt.

gibt

eine

Vielzahl

von

Delikten,

welche

man

unter

Im

dem

Begriff

Computer-

wird

die

oder

übliche

zusammenfassen

kann.

folgenden

Referat zum Thema “Sicherheit im Netz”

5.1.1.1 Wirtschaftsdelikte

Wirtschaftsdelikte gelten als die häufigsten Straftaten. Unter dem Begriff der computerbezogenen Wirtschaftsdelikten versteht man Computermanipulationen, Computerbetrug, Computerhacking, Computerspionage, Produktpiraterie, Computersabotage und damit verbundene Erpressung. Computermanipulationen und Computerbetrug sind in der Informationsgesellschaft bereits weit verbreitet. Dazu gehören Veränderungen von Bilanzierungsprogrammen und über das Netz vorgenommene Manipulationen der Buchhaltung von Banken, sowie Mißbrauch von Bankautomatenkarten und vergleichbaren Zahlungsmitteln. Als Massendelikte werden in diesem Zusammenhang Mißbräuche des Telefonnetzes bezeichnet. Das bedeutet die Fälschung und Manipulation von Telefonkarten oder das Telefonieren auf Rechnung anderer Netzteilnehmer. Einen weiteren großen Schaden richtet das unbefugte Kopieren oder Benutzen fremder Computerprogramme an. Zur Verteilung solcher Piraterieprodukte werden auch häufig Kommunikationsnetze benutzt. Ein weiteres Wirtschaftsdelikt besteht in der Computersabotage durch Viren- und Wurmprogramme. Diese Art der Computersabotage ist zugleich ein gutes Mittel zur Erpressung, indem man die Abhängigkeit von Gesellschaften von der Informations- und Kommunikationstechnik ausnutzt und damit droht, das entsprechende Computernetz durch Viren lahm zulegen. Weitere Delikte sind Computerhacking und Computerspionage; mit diesen Delikten verbindet man das unbefugte Eindringen in ein fremdes Computernetz. Die dabei gewonnenen Erkentnisse können zur Spionage oder zu terroristischen Anschlägen genutzt werden. Es gibt aber auch Computerhacker, welche einfach in ein System eindringen, um sich zu beweisen.

5.1.1.2 Verbreitungsdelikte

Unter Verbreitungsdelikten versteht man die Verbreitung von Daten mit mißzubilligendem Inhalt, wie zum Beispiel pornographische oder gewaltverherrlichende Darstellungen. Die Begehung solcher Delikte wird durch die Vernetzung erheblich vereinfacht. Zudem ist die Verfolgung dieser Straftat nicht einfach, da sie nach der derzeitigen Rechtslage und der

Referat zum Thema “Sicherheit im Netz”

angewandten Technik äußert begrenzt ist.

5.1.1.3 Persönlichkeitsrechtsverletzung

Da heute viele Datenverarbeitungs- und Kommunikationsvorgänge auf Computernetze verlagert werden, wächst natürlich auch die Gefahr, daß der persönliche Lebens- und Geheimnisbereich von Personen verletzt wird. So kann zum Beispiel eine Ausforschung von Gesundheitsdaten verheerende Folgen für den Betroffenden haben.

5.1.2 Täter

Die Anzahl der möglichen Täter ist genauso vielfältig wie die Delikte in der Informations- und Kommunikationstechnik. Es kommen ebenso Studenten wie Terroristen und Täter aus dem Bereich der organisierten Kriminalität in Betracht. Somit ist jede Person mit dem notwendigen Minimum an Fähigkeiten ein potentieller Täter, soweit er sich durch einen möglichen finanziellen Gewinn, durch Rache, die Chance bekannt zu werden oder seine Weltanschauung zu verbreiten motiviert fühlt. Nach einer australischen Untertsuchung sind die Täter in der Regel männliche Schüler, Studenten oder Angestellte im Alter von 30 bis 45 Jahren. Zudem macht anscheinend die Gelegenheit den Bürger zu einem Täter, wer also über Insiderwissen, Paßwörter oder besondere Zugriffsrechte verfügt, gehört zu einer möglichen Tätergruppe.

Referat zum Thema “Sicherheit im Netz”

6. Resüme

Ich glaube das man nur sehr schwer ein Resüme über den Themenbereich “IT-Sicherheit” ziehen kann. Das hat meiner Meinung nach zwei Gründe:

Zum ersten ist der Themenbereich sehr unübersichtlich und vielfältig, nicht alleine durch die zahlreichen technischen, organisatorischen und gesetzlichen Möglichkeiten, sondern auch durch die nicht immer einheitlichen Begriffe und Bezeichnungen.

Der zweite Grund ist der, daß die IT-Sicherheit und ihre Möglichkeiten keinen festen “Zustand” besitzen, sondern sich in einem ständigen Wandel befinden. Dies ist durch die sehr rasch fortschreitende technische Entwicklung und durch die zunehmende Ausbreitung der IT-

Technik (Internet, Workflow, Teleshopping,

Dadurch ensteht ein immerwährender Handlungsbedarf, der nicht nur national, sondern auch international besteht. Daher darf man aus meiner Sicht das Thema “IT-Sicherheit” nicht vernachläßigen, denn wenn man nicht diesem Handlungsbedarf ständig nach kommt, könnte es passieren, daß in absehbarer Zeit die “andere Seite”, also die kriminelle Nutzung und Ausnutzung des Internets die Oberhand gewinnt. Es ist natürlich fraglich, ob dir IT-Sicherheit die Oberhand gewinnt, aber mit Sicherheit kann man eine Patt-Situation erreichen.

) zu begründen.

Referat zum Thema “Sicherheit im Netz”

7. Anhang

7.1 Literaturverzeichnis

1. Vierter Zwischenbericht der Enquete-Kommission, Thema “Sicherheit und Schutz im

Netz”; Bonn 1998, Deutscher Bundestag, Drucksache 13/11002

2. Bundesdatenschutzgesetz; 3 Auflage August Bonn 1995, Bundesbeauftragter für Daten-

schutz

3. Data Security for Helth Care, Volume 1 Management Guidelines; Amsterdam 1996, IOS

Press

4. http://www.cci.de/cci

5. http://www.bsi.de

7.2 Tabellenverzeichnis

Anwendungsfelder der IuK-Technik

5

Ursachen für Störungen und Ausfälle von IT-Systemen

10

Die E-Stufen der ITSEC

17

Zusammenhang: E-Stufen, Sicherheitswert und Widerstandswert

19

7.3

Abbildungsverzeichnis

Anzahl der Web-Server

6

Prüfbare Produkte

20

Zertifizierungsreport

20

Zertifizierungsverfahrens-ID

21

Zertifizierungsdokumente

21

Firewall-Konzept

23