Sie sind auf Seite 1von 8

Aktualisierte Ausgabe Nr.

08 | Februar 2006

e-f@cts
Innovationspolitik, Informationsgesellschaft, Telekommunikation
Informationen
zum E-Business

Schwerpunkt
Sicherheit im E-Business: Risiken
für alle Internetnutzer, Risiken
für Unternehmen; Sicherheits-
maßnahmen für jedes IT-System,
Sicherheitsmaßnahmen für
Unternehmen.
3 ab Seite 1
Fakten & Zahlen Sicherheit im E-Business
Das Internet ist ein offenes Netz, an dem jeder sich dort festsetzt und meist Datenbestände
teilnehmen kann. Das macht seinen „Charme” verändert oder löscht. Erstmalig hat der „I-LOVE-
aus. Der Nachteil dabei ist: Es gibt keine Aufsicht YOU-Virus“ vor nicht allzu langer Zeit einer brei-
oder Kontrollinstanz, die für Sicherheit sorgt. ten Öffentlichkeit deutlich gemacht, wie groß
3 ab Seite 3 Für die Sicherheit ist jeder Nutzer selbst verant- ein solcher Schaden sein kann, sowohl bei priva-
wortlich. ten PCs als auch in großen Unternehmensnetzen.
E-Business-ABC Mit Sicherheit ist dabei in erster Linie der Trojanische Pferde: Ein Trojanisches Pferd ist
sichere Transport und die sichere Speicherung ein Programm, das – nicht erkennbar – in ein
Aktive Inhalte, ActiveX, Browser, von Daten gemeint. Aber auch die angeschlos- für Nutzer attraktives „Wirtsprogramm” einge-
Cache, Cookie, History, Java, senen Rechner können bei Sicherheitsproble- bettet ist. Dieses „Wirtsprogramm” wird bei-
Javascript, SSL men in Mitleidenschaft gezogen werden. spielsweise zum Download angeboten oder als
3 ab Seite 4 Gefahren drohen dabei übrigens nicht nur Anhang an E-Mails verschickt. Öffnet man dieses
von außen. Gerade in Unternehmen entstehen „Wirtsprogramm”, wird die verdeckte Software
Sicherheitsprobleme auch von innen. Dies wird gestartet und richtet Schaden auf der Festplatte
immer wieder übersehen und führt – bei noch oder im Netz eines Nutzers an.
so großem Bemühen um Unverwundbarkeit – Kein Schutz gegen aktive Inhalte: Gerade so
Praxis & Technik zwangsläufig zu Lücken in den Sicherheitsvor- genannte Standardsoftware (z. B. Internet-Ex-
kehrungen. plorer als Browser) wird unnötigerweise da-
Virenschutz und durch zur „Zeitbombe”, dass vorhandene Sicher-
Browser-Sicherheits-Tipps Risiken für alle Internetnutzer heitsoptionen nicht genutzt werden – beispiels-
3 Seite 6 Viren: Ein Computer-Virus ist ein Programm, weise die Option, aktive Inhalte (Java, JavaScript,
das z. B. per E-Mail, Download oder den Aus- ActiveX) fremder Internetseiten nicht zuzulas-
tausch von Disketten in einen Computer gelangt, sen (s. Praxis & Technik, S. 6). Aktive Inhalte sind
2 Schwerpunkt

Sicherheit im
E-Business

Inhalt Computerprogramme, die in Internetseiten ren internen Sicherheitsprobleme nicht vernach-


bereits enthalten sind oder beim Betrachten lässigt werden.
Schwerpunkt
einer Internetseite automatisch nachgeladen Gefährdungen von außen: Über Hacker-An-
Sicherheit im E-Business: Risiken
werden: Sie können gezielt zu dem Zweck er- griffe wird immer wieder in der Presse berichtet,
für alle Internetnutzer, Risiken für
stellt worden sein, vertrauliche Daten des Be- insbesondere dann, wenn die Sicherheitsvor-
Unternehmen; Sicherheitsmaß-
nutzers auszuspionieren. kehrungen großer Unternehmen von Einzeltä-
nahmen für jedes IT-System,
Ungeschützte Kommunikation: Alle Arten tern überwunden wurden (Goliath- bzw. Robin-
Sicherheitsmaßnahmen für
der Kommunikation über das Internet sind Hood-Effekt) und sich dies auch noch eindrucks-
Unternehmen.
anfällig für „Lauscher” – aus technischen Grün- voll präsentieren lässt. Hierzu gehören beispiels-
3 ab Seite 1 den, vor allem aber auch wegen der Sorglosig- weise Angriffe, bei denen
keit der Kommunikationspartner. E-Mails wer- 3 Webserver gezielt überlastet werden
Fakten & Zahlen
den heutzutage gerne als das moderne Pendant (Denial-of-Service-Attacken);
zur Briefpost genutzt. Dabei kann eine E-Mail 3 das Webangebot manipuliert wird, also
aber eigentlich nur mit dem Versenden von die Internetdarstellungen eines Unterneh-
Postkarten gleichgesetzt werden, die mit Blei- mens verändert werden (oft mit ehrverletzen-
stift geschrieben sind. Die Technik macht es mög- den, rassistischen oder sexistischen Aussagen);
lich, dass jeder sie mitlesen und verändern, wo- 3 auf internen Servern gespeicherte Kunden-
möglich sogar aufhalten kann, ohne dass dies daten gelesen und missbraucht werden;
nachweisbar wäre. 3 Dienstleistungen unberechtigt in Anspruch
3 ab Seite 3 Fehlende Identifikation: Woher wissen Sie, genommen werden.
wer Ihr Gegenüber – bei E-Mails oder bei Web- Gefährdungen von innen: Mängel. Es wird
E-Business-ABC
seiten im Internet – ist? In offenen Netzen wie gerne verdrängt, dass ein Großteil aller Sicher-
Aktive Inhalte, ActiveX, Browser,
dem Internet stehen hinter Namensangaben heitsprobleme hausgemacht ist und auf tech-
Cache, Cookie, History, Java,
nicht unbedingt die damit assoziierten Personen nischen Defekten, Irrtümern, Fahrlässigkeit
Javascript, SSL
oder Institutionen. Beispiel: Unter www.xy- und Fehlern eigener Mitarbeiter inklusive Ma-
3 ab Seite 4 bank.com findet sich nicht unbedingt die XY- nagement, aber auch externer Dienstleister be-
Bank. Ebenso sind Absenderangaben bei ruht. Dazu kommt: Tagtäglich fallen Betriebs-
Praxis & Technik
E-Mails leicht zu fälschen. systeme aus, die weniger stabil sind, als die Her-
Virenschutz und
Fehlendes Bewusstsein, mangelnde Infor- steller versprechen, weil Anwendungen nicht
Browser-Sicherheits-Tipps
mation: Fast immer kommen mehrere Gründe miteinander kompatibel oder Benutzer oder
3 Seite 6 dafür zusammen, dass z. B. Viren, Trojanische gar Administratoren ungenügend geschult
Pferde oder aktive Inhalte tatsächlich Schäden sind für den Umgang mit den hochkomplexen
anrichten können. Wären sich Nutzer der kon- IT-Systemen.
kreten IT-Sicherheitsprobleme bewusst und Gefährdungen von innen: Manipulation.
wüssten sie mehr darüber, wie sie sich vor Leider kommt auch die Manipulation von IT-
drohenden Gefahren schützen könnten, so wür- Systemen durch die eigenen Mitarbeiter immer
de eine Vielzahl der bekannten Schäden ausge- wieder vor. Daten oder Systeme können aus ver-
schlossen. schieden Motiven manipuliert werden: aus Ra-
chegefühlen, um einen Schaden mutwillig zu
Risiken für Unternehmen erzeugen, um sich persönliche Vorteile zu ver-
Wer E-Business-Komponenten einsetzt, will in schaffen oder schlicht zur persönlichen Berei-
der Regel ein breites Publikum erreichen. Das cherung. Manipulationen werden dadurch er-
bedeutet: Auch im Internet stehen die „Türen” leichtert, dass die organisatorischen bzw. tech-
für Kunden weit offen. Folge: Ein E-Business- nischen Hürden niedrig sind und gleichzeitig
Anbieter muss auch immer mit unerwünschten das Risiko, entdeckt zu werden, gering ist.
Besuchern rechnen. Dabei werden meistens die Gefährdungen von innen: mangelndes
Gefährdungen von außen als größtes Sicherheits- Sicherheitsbewusstsein. Ein mangelndes
problem gesehen. Darüber dürfen aber auch Sicherheitsbewusstsein führt schnell zu einem
die weniger spektakulären, aber meist häufige- mangelhaften Umgang mit IT-Sicherheit. Es
e-f@cts Informationen zum E-Business
Aktualisierte Ausgabe
Nr. 08 | Februar 2006 3

betrifft dann oft nicht nur einzelne IT-Sicher- Cash oder ecash wurden bereits wieder einge- Gefahren drohen nicht nur von
heitsprozesse, sondern nicht selten auch den stellt. Es wird noch eine Zeitlang dauern, bis sich außen. Gerade in Unternehmen
gesamten IT-Betrieb. Häufig ist zu beobachten, die ersten Verfahren „internetweit“ etabliert ha- entstehen Sicherheitsprobleme
dass zwar eine Vielzahl von organisatorischen ben. Bis dahin müssen Händler auch Zahlungs- auch von innen. Dies wird immer
oder technischen Sicherheitsverfahren vorhan- verfahren als Übergangslösungen anbieten, die wieder übersehen und führt zu
den ist, diese jedoch durch den sorglosen Um- weniger sicher sind als die speziell für den Elec- Lücken in den Sicherheitsvorkeh-
gang mit der Technik wieder ausgehebelt wer- tronic-Commerce entwickelten Verfahren: wie rungen.
den. Ein typisches Beispiel hierfür sind die fast im herkömmlichen Versandhandel per Kredit-
schon sprichwörtlichen Zettel am Monitor, auf karte, per Nachnahme, Lastschrift oder Über-
denen alle Zugangspasswörter notiert sind. weisung. Wichtig: Unternehmen sollten ihren
Kunden anbieten, in jedem Fall personenbezo-
Risiken für E-Business-Kunden gene Daten verschlüsselt zu senden (SSL). (Wei-
Kundendaten nicht vertraulich behandelt: tere Informationen hierzu in ef@cts 13 „Zahlungs-
Viele potenzielle Kunden sind wegen ihrer Si- verkehr im Internet“).
cherheitsbedenken zurückhaltend beim Thema
E-Business. Oft erfragen E-Business-Anbieter Angriffe abwehren
sinnvolle, aber auch überflüssige Angaben von Virenschutzprogramme: Virenschutzpro-
ihren Kunden. Auf Seiten der Kunden ist hier gramme überprüfen Datenträger auf eventu-
das erstaunliche Verhalten zu beobachten, dass elle Computer-Viren. Eine solche Überprüfung
sie einerseits (z. B. bei Gewinnspielen) eine Un- sollte sowohl die am Arbeitsplatz benutzten Da-
menge persönlicher Daten bedenkenlos wei- tenträger als auch sämtliche Datenträgerzu-
tergeben, andererseits aber von Bestellungen gänge (z. B. Internet, E-Mail) umfassen.
über das Internet zurückscheuen, weil sie ihre
Adresse angeben müssen. Allerdings haben
eben auch viele Kunden gerade beim E-Business Fälle von Computerkriminalität
schlechte Erfahrungen damit gemacht, dass Betrug mit rechtswidrig erlangten Kreditkarten mit PIN
ihre Kundendaten z. B. an andere Unternehmen 35.954
weitergegeben wurden: Sie hatten einmal im 36.088
Internet bestellt, und anschließend wurde so- Computerbetrug (§ 263a StGB)
wohl ihr Briefkasten an der Haustür als auch ihr 11.388
14.186
E-Mail-Postfach mit Werbepost übeschwemmt.
Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten
Kundendaten nicht gesichert: Kunden be- 7.003
fürchten (nicht zu Unrecht), dass ihre Daten zu- 7.357
weilen unsicher gespeichert oder unsicher in Datenveränderung, Computersabotage
andere Untersysteme der EDV weiter geleitet 1.705
werden (z. B. Rechnungswesen). Einige Händler 3.130

gehen erfahrungsgemäß so fahrlässig mit Kun- Softwarepiraterie (private Anwendung z. B. von Computerspielen)
2.053
dendaten um, dass diese von Hackern ohne Pro- 2.782
bleme gelesen werden können.
Ausspähen von Daten
„Wolf im Schafspelz” – „Spoofing”: Viele 781
Kunden haben negative Erfahrungen mit 1.743
„Spoofing“ gemacht. Ein Kommunikationspart- Softwarepiraterie (gewerbsmäßiger Handel)
ner täuscht vor, jemand Anderes zu sein, und 570
1.117
dies normalerweise nicht mit guten Absichten.
Fälschung beweiserheblicher Daten, Täuschung im
Bezahlen über das Internet: Es gibt diverse Ver-
Rechtsverkehr bei Datenverarbeitung
fahren, die zur Zahlungsabwicklung über das In- 237 2003
ternet entwickelt wurden, die meisten befinden 570 2004
sich aber noch im Stadium von Pilotversuchen.
Quelle: BKA 2005
Andere, vielversprechende Verfahren wie Cyber
4 Schwerpunkt

Sicherheit im
E-Business

E-Business-ABC Vorsicht: Es gibt immer wieder neue und anders- Firewalls: Firewall bedeutet wörtlich „Feuer-
Aktive Inhalte artige Computer-Viren, so dass ältere Viren- schutzwand“ oder „Brandmauer“. Es handelt
Computerprogramme, die in schutzprogramme mit der Zeit ihre Wirksamkeit sich hier um eine Hardware oder Software, die
Internetseiten bereits enthalten verlieren, da sie nur die zu ihrem Entstehungs- den Zugang zu internen Datensystemen etwa
sind oder beim Aufenthalt auf zeitpunkt bekannten Computer-Viren berück- von Unternehmen (z. B. Intranets) beschränkt
einer Internetseite automatisch sichtigen. Daher müssen sie regelmäßig (eigent- oder verhindert. Dabei ist auch zu prüfen,
nachgeladen werden. Häufig ist lich täglich) aktualisiert werden. Virenschutz- inwieweit das zu schützende Unternehmens-
bei einem Klick auf einen Link programme sind im Handel erhältlich oder netz unterteilt werden kann, so dass nicht das
nicht klar ersichtlich, dass damit können aus dem Internet heruntergeladen gesamte Netz, sondern vielleicht nur ein
ein aktiver Inhalt gestartet wird. werden. geringer Teil mit dem Internet verbunden ist.
Aktive Inhalte können gezielt zu Auch die Verwendung der digitalen Signa-
dem Zweck erstellt worden sein, tur kann dem Virenschutz dienen (s. Sicher- Angriffe erfassen: Intrusion Detection Systeme
vertrauliche Daten des Benutzers heitsmaßnahmen in Unternehmen, S.5): Wenn Hacker-Angriffe auf ein Netzwerk lassen sich er-
auszuspionieren. Die wichtigsten nämlich E-Mails immer mit einer „digitalen kennen: in den Zugriffs-Daten, die jede Firewall
Beispiele für aktive Inhalte sind Signatur“ elektronisch unterschrieben wären, durch einen automatischen Firewall-Administra-
„Java“, „JavaScript“ und „ActiveX“. wüssten die Empfänger, wer ihnen was gesen- tor protokolliert. Schwierig ist allerdings, eine
det hat – immerhin 99 Prozent aller Massen- Attacke in der Fülle der Daten und bei der Viel-
Viren erreichen die Empfänger mit gefälschten zahl und Komplexität der verschiedenen Angriffs-
Absendern und zweifelhaften Inhalten. möglichkeiten zu entdecken. Intrusion Detection
(ID) und Intrusion Response (IR) Systeme können
hierbei helfen.
Bedenken gegen Internet-Kauf ID-Systeme unterstützen einen Firewall-
Antworten in % Administrator dabei, einen Angriff aus einer
großen Anzahl von Protokolldaten herauszu-
Geld-Rückerstattung
42 lesen. IR-Systeme dagegen dienen dazu, auto-
38 matisch Gegenmaßnahmen einzuleiten, sobald
ein Angriff erkannt wird. Zurzeit sind Intrusion
Lieferung (beschädigt, verspätet, nicht erfolgt usw.) Detection Systeme allerdings noch kein Allheil-
40 mittel gegen Angriffe von außen, sondern noch
36
mit diversen Problemen behaftet, so dass sie auf
Sicherheit beim Bezahlen
keinen Fall als Ersatz für andere Sicherheitsmaß-
38 nahmen, sondern nur als Ergänzung für diese
48 eingesetzt werden sollten.
Sowohl Firewalls als auch Intrusion Detec-
Glaubwürdigkeit der Informationen im Internet tion Systeme werden von Spezialanbietern ver-
32
27
kauft. Welche Firewall bzw. welches Intrusion
Detection System empfehlenswert ist und für
keine Bedenken bestimmte Unternehmen in Frage kommt, wird
23 immer wieder von Fachzeitschriften getestet.
23

Verbraucherschutz
21
23

Anonymität der Verkäufer Deutschland


20
16 EU 15 (ohne Osterweiterung)

Quelle: Eurobarometer 2004


e-f@cts Informationen zum E-Business
Aktualisierte Ausgabe
Nr. 08 | Februar 2006 5

E-Business-ABC
Angreifbarkeit Sicherheitsmaßnahmen
ActiveX
vermindern in Unternehmen Mit Hilfe von ActiveX können
interaktive Softwarekomponen-
Verschlüsselung von Nachrichten Keine „Monokulturen” ten aus beliebigen Programmier-
Bei der Online-Übertragung von Nachrichten Unternehmens-Netzwerke sollten nicht an jeder sprachen in Webseiten eingebun-
sollten sich alle Kommunikationspartner darü- Stelle mit derselben Standardsoftware ausgestat- den werden. Dadurch werden
ber im klaren sein, dass unverschlüsselte Nach- tet sein: also keine „Monokulturen”, in der jeder z. B. Multimedia-Effekte oder
richten während ihres gesamten Weges unbe- einzelne Server und jeder PC von einem Virus be- interaktive Objekte lebendig.
merkt gelesen, geändert bzw. abgefangen wer- fallen werden könnte. Dort, wo dennoch bekann-
den können. Daher ist zu überlegen, ob die Nach- termaßen anfällige Software genutzt wird, soll- Browser
richten verschlüsselt und/oder digital signiert ten die bestehenden Sicherheitsmöglichkeiten Software, mit deren Hilfe im
werden sollten. Auch innerhalb eines Unterneh- aktiviert werden (s. Praxis & Technik, S.6). Internet gesucht und Inhalte auf
mens sollten alle sensiblen Geschäftsdaten vor einem Monitor sichtbar gemacht
den Augen Dritter durch Verschlüsselung ge- Verbraucherfreundliche Technologien werden können (z. B. Internet
schützt werden. Besonders wichtig für die Ver- Der Erfolg von E-Business-Unternehmen steht Explorer, Netscape-Navigator).
schlüsselung und z. B. für eine digitale Signatur: und fällt mit der Gewährleistung von Daten- und Diese Browser können auch für
3 Ohne ein verwendetes Verschlüsselungs- Verbraucherschutz. Daher sollten Internet-Händ- die Nutzung von Multimedia-CDs
programm (Algorithmus) darf es nicht möglich ler ihre Internet-Angebote so gestalten, dass diese verwendet werden.
sein, einen verschlüsselten Text zu rekonstru- Fortsetzung auf Seite 7
ieren. Nicht in jedem Fall macht aber ein hoch-
komplizierter Schlüssel Sinn. „Nicht möglich“
bedeutet daher, dass der erforderliche Auf- Warum kaufen Sie nichts im Internet?
wand zum „Knacken“ des Schlüssels größer sein Antworten in %
sollte als der Informationsgewinn, den man so
kein Zugang zum Internet
erzielen könnte. 64
3 Das Verschlüsselungsprogramm muss gut 57
funktionieren. Leider sind viele der in Unterneh-
kein Interesse an Angeboten im Internet
men eingesetzten Verschlüsselungssysteme von 36
zweifelhafter Qualität. Einige Programme haben 28
Konstruktionsfehler oder sind unverständlich. kein Vertrauen ins Internet
3 Die Schlüssel und der verschlüsselte Text 20
dürfen nicht zusammen auf einem Datenträger 25
gespeichert werden. Einkaufen im Internet zu kompliziert
3 Zur Verschlüsselung wird häufig SSL (Secure 10
Socket Layer) eingesetzt. SSL hat den Vorteil, dass 7
es in jedem Standard-Browser integriert ist und Internetnutzung zu teuer
die Kunden keine weitere Software installieren 9
müssen. 5

3 Mit dem GNU Privacy Guard (GnuPG) und Internet zu kompliziert


dem vom Bundesministerium für Wirtschaft 9
und Technologie (BMWi) geförderten GNU 7
Privacy Projekt (GnuPP) steht darüber hinaus keine Kreditkarte
eine freie Verschlüsselungssoftware zur Verfü- 7
gung. 7

Sprachschwierigkeiten Deutschland
3
2 EU 15
Quelle: Eurobarometer 2004
6 Praxis & Technik

Virenschutz und Browser-Sicherheits-Tipps

E-Business-ABC Virenschutz-Tipps Aktuelle Ausgabe besorgen: Besorgen Sie sich


Cache Besonders anfällig sind die Mail-Programme „Mi- immer die aktuelle Version des Internet Explorers
Temporärer Zwischenspeicher crosoft Outlook“, „Outlook 2000“ und „Outlook (IE). Sie garantiert, dass Sicherheitslücken, die
auf der eigenen Festplatte, in Express“, die auf rund 90 Prozent aller Computer zwischenzeitlich bekannt geworden sind, besei-
dem Daten zu besuchten installiert sind. Die Standardeinstellungen dieser tigt wurden.
Webseiten abgelegt und Programme weisen Sicherheitslücken auf, so dass Hohe Sicherheitsstufe einschalten: Unter Ex-
griffbereit gehalten werden. Viren „freie Bahn“ auf Ihren Rechner haben. Eini- tras/Internetoptionen/Sicherheit/Standardstufe
Effekt: Wenn man eine vorher ge wenige Änderungen schließen die gravierend- sollten Sie die Sicherheitsstufe „Mittel“ einstellen
besuchte Webseite nochmals sten Sicherheitslücken. (ist in der Regel so voreingestellt).
ansteuert, müssen die Original- Outlook, Outlook 2000 und Outlook Express: Alle Vorgänge kontrollieren: Sie sollten aus-
daten nicht nochmals vollständig Deaktivieren Sie das „Vorschaufenster“ und die schließen, dass Ihr Computer etwas tut, was Sie
vom Server der betreffenden „Autovorschau“. Diese finden Sie in Outlook 2000 nicht wollen oder von dem Sie nichts wissen.
Seite heruntergeladen werden. unter dem Menüpunkt „Ansicht“; in Outlook Klicken Sie bei allen Optionen unter Sicherheits-
unter „Posteingang“ und „Ansicht“; in Outlook einstellungen, bei denen es möglich ist, den
Cookie Express unter „Ansicht“ und „Layout“. Stellen Sie Punkt „Eingabeaufforderung“ an.
Hält die Zugriffe eines Nutzers auf Outlook über den Menüpunkt „Optionen“ und Aktive Inhalte ausschließen: Aktive Inhalte
bestimmte Internetseiten fest. „Sicherheit“ von „Internet-Zone“ auf „Zone für (ActiveX) bergen ein beträchtliches Risiko und
Mit Hilfe dieser Protokolle lässt eingeschränkte Sites“ um. sollten generell nur auf Bestätigung des Be-
sich genau verfolgen, welche 3 Menüpunkt „Extras“ anklicken, „Optionen“ nutzers geladen und gestartet werden. Schließen
Vorlieben der betreffende Inter- auswählen Sie die Gefahrenquelle daher weitgehend aus.
netnutzer hat. 3 Reiter „Sicherheit“ anklicken Gehen Sie nur dann auf Seiten mit aktiven
3 Sicherheitszone „Eingeschränkte Sites“ aus- Inhalten, wenn es nicht zu vermeiden ist (z.B.
History wählen Ihrer Bank). Diese Seiten sollten Sie in die Rubrik
Die meisten Web-Browser 3 „O.K.“ anklicken „vertrauenswürdige Sites“ aufnehmen. Aller-
speichern alle Internetadressen, Damit diese Sicherheitszone wirklich einge- dings schließen Sie so viele Seiten zum Surfen aus,
die ein Benutzer besucht, intern schränkt ist, sollten Sie in der Windows System- die nicht ohne diese Scripts funktionieren. Also
in einer Liste ab. Mit Hilfe dieser steuerung die Einstellungen des Punktes „Einge- bei Bedarf wieder aktivieren und anschließend
Liste kann der Benutzer später be- schränkte Sites“ überprüfen. das Deaktivieren nicht vergessen.
quem eine einmal besuchte Web- Windows Systemsteuerung: 3 Wählen Sie dafür unter Extras/Internetoptio-
seite wiederfinden und nutzen. 3 „Einstellungen“ und dann „System- nen/Sicherheit/Stufe anpassen bei sämtlichen ak-
Die Liste wird häufig „History“ steuerung“ anklicken tiven Inhalten die Option „Eingabeaufforderung“
oder „Verlauf“ genannt. 3 „Internetoptionen“ anklicken 3 Nicht sichere bzw. unsignierte ActiveX-Ele-
3 Reiter „Sicherheit“ auswählen mente deaktivieren
Java 3 „Eingeschränkte Sites“ auswählen Java: Java ist im Vergleich zu ActiveX relativ
Eine Programmiersprache, die zu- 3 „Stufe anpassen“ sicher. Deshalb können Sie es bei der voreinge-
sammen mit einer Webseite über- 3 Hier sollten Sie alle Punkte deaktivieren, vor stellten hohen Sicherheit belassen. Wer auf
tragen und auf einem beliebigen allem „AktiveX-Steuerelemente...“ und „Scripting/ Nummer sicher gehen will, sollte Java deakti-
Rechner (dessen Browser Java be- Active Scripting“. Rollen Sie die gesamte Liste he- vieren.
herrscht bzw. zulässt) ausgeführt runter, um alle Punkte zu kontrollieren. Java, Java- Scripting: Scripting ermöglicht oft erst das Aus-
werden kann. Dadurch kann ein Script oder ActiveX haben in E-Mails nichts zu nutzen von Sicherheitslücken. Daher sollten Sie es
Anwender zu Hause Programme suchen deaktivieren. Dadurch gehen allerdings bei vielen
ausführen, die von einem fernen 3 Zum Abschluss nochmals „O.K.“ anklicken Sites einige Funktionen verloren. Kompromiss:
Rechner übertragen werden. 3 Deaktivieren Sie Active Scripting und
Durch Java können Internetseiten Browser-Sicherheits-Tipps nehmen Sie alle vertrauenswürdigen Sites, die Sie
multimedial und interaktiv ge- Fast alle Internetnutzer arbeiten mit dem Internet benötigen, in die Liste vertrauenswürdiger Sites
staltet werden, z. B. durch Musik, Explorer (IE) als Browser. Dieser bietet zwar eine auf
Animationen, Videos. Reihe von Sicherheitseinstellungen, die aber in 3 Klicken Sie bei „Einfügeoperationen“ und
der Regel vom Nutzer erst selbst aktiviert werden „Java-Applets“ „Eingabeaufforderung“ an
müssen.
e-f@cts Informationen zum E-Business
Aktualisierte Ausgabe
Nr. 08 | Februar 2006 7

Fortsetzung von Seite 5


sowohl möglichst wenig Risiken für die Benutzer Sicherheitsmanagement
E-Business-ABC
beinhalten als auch einfach zu bedienen sind. IT-Sicherheit kann nicht ausschließlich mit tech- JavaScript
Empfehlungen: nischen Sicherheitsmaßnahmen erreicht wer- Eine Art „Mini-Programmier-
3 E-Business-Nutzer sollten möglichst keine den. Der Sicherheitsgedanke muss vielmehr alle sprache“, mit der sich einfache
Cookies verwenden: Dateien also, die vom In- Bereiche eines Unternehmens durchdringen: Zusatzfunktionen auf Webseiten
ternet-Browser automatisch angelegt werden Rechte und Pflichten der Mitarbeiter, Zu- realisieren lassen. Der Code wird
und die dem Anbieter einer Homepage zur Wie- ständigkeiten, verbindliche Handlungsanwei- direkt in das HTML-Dokument ge-
dererkennung eines Online-Besuchers dienen. sungen, Diskretion etc. Hierzu gehört u. a. ein schrieben. Java-Script wird gerne
Wenn doch, sollten sie die Kunden über deren fundiertes IT-Sicherheitsmanagement, das für mit Java verwechselt. Beide sind
Inhalt und Zweck aufklären. die sinnvolle Umsetzung und Erfolgskontrolle aber vollkommen verschieden.
3 E-Business-Anbieter sollten möglichst keine von IT-Sicherheitsmaßnahmen sorgt. In kleine-
aktiven Inhalte auf Unternehmens-Seiten anbie- ren Betrieben reicht hier ein IT-Sicherheitsbe- SSL
ten (z. B. Formulare oder Bilder in Java, JavaScript, auftragter aus. In großen Unternehmen küm- Ein Protokoll, das verschlüsselte
ActiveX). Grund: Aktive Inhalte können auf ver- mert sich sinnvollerweise ein IT-Sicherheits- Kommunikation über das Internet
schiedene Weise Software enthalten, die Schä- management-Team um die vielfältigen Auf- erlaubt. SSL wird meist in der
den verursachen oder Daten auf Kundenrech- gaben zur Konzeption und Koordinierung der Kommunikation zwischen Web-
nern ausspionieren und Kunden „vergraulen” IT-Sicherheit. Browsern und Servern verwendet.
kann.
3 Jeder seriöse E-Business-Anbieter sollte für Aufbau einer Sicherheitskultur
die Übermittlung aller personenbezogenen Um Sicherheitsschwachstellen auszuschließen,
Daten die Möglichkeit anbieten, diese zu ver- das Zusammenspiel aller Sicherheitsmaßnahm-
schlüsseln. en zu garantieren und Fehler zu vermeiden,
sollte jedes Unternehmen eine eigene IT-Sicher-
Identifikation heitskultur schaffen. Deren Elemente sind:
Unternehmen sollten bei Bestellungen ihre 3 Vollständigkeit: Alle denkbaren Sicherheits-
Kunden einer Plausibilitätsprüfung unterzie- einstellungen für IT-Systeme werden eingerich-
hen: Gibt es den Kunden überhaupt? Dies tet und aktiviert.
wäre wenig wahrscheinlich bei einem Kunden
„Mickey Maus”. Stimmt die Adresse? Kaum
möglich bei einer Adresse „Entenhausen” etc. Wie sichern Mittelständler die Datenkom-
Im Zweifelsfalle: den Kunden anrufen. munikation zu Kunden/Lieferanten ab?
in % der befragten Unternehmen (Mehrfachnennungen möglich)
Digitale Signatur
Nicht wenigen Online-Händlern ist eine fehlen-
Virenscanner
de rechtsverbindliche persönliche Unterschrift 96
im Internet zum Problem geworden: angesichts
etlicher Blindlieferungen und geplatzter Ver- Firewall
kaufsverträge. Mit Hilfe der elektronischen Sig- 87

natur nach dem Signaturgesetz ist es möglich,


Datenverschlüsselung
elektronische Dokumente (z. B. E-Mails) rechts- 36
verbindlich zu unterschreiben.
Online-Nutzer, die die digitale Signatur Digitale Signatur
nutzen wollen, erhalten von einer Zertifizie- 24

rungsstelle einen verschlüsselten Unterschrifts-


keine dieser Sicherheitsmaßnahmen
Code auf einer besonders gesicherten Chip- 2
Karte. Wollen sie nun elektronische Dokumente
unterzeichnen, können sie sich über ein spe- andere Maßnahmen
zielles Kartenlesegerät am Computer einwählen, 4
Quelle: IBM/impulse 2004
ausweisen und verschlüsselt unterschreiben.
8 Schwerpunkt

Sicherheit im
E-Business

Impressum 3 Erreichbarkeit: Zutritt (in Räume), Zugang Kunden-Info: Was tut das Unternehmen?
Herausgeber: (zu PCs oder Netzwerken), Zugriff (auf bestimm- Insbesondere sollte den Konsumenten erklärt
Bundesministerium für Wirtschaft
te Daten) zu den IT-Systemen werden begrenzt. werden, in welchem Umfang und wofür Daten
und Technologie (BMWi)
Öffentlichkeitsarbeit 3 Zuständigkeit: Wer ist wofür verantwort- über sie erhoben werden und wie diese vor Miss-
11019 Berlin lich? brauch geschützt werden. Beispiele: Wie sind
info@bmwi.bund.de 3 Qualifikation: Das Personal wird für IT-Sicher- personenbezogene Daten im Unternehmen ge-
www.bmwi.de heitsbelange sensibilisiert und so geschult, dass schützt? Falls Cookies verwendet werden, sollte
es in seinen Aufgabenbereichen maximale Si- man den Kunden darüber informieren, welchem
Redaktion: cherheit umsetzen kann. Zweck sie dienen sollen und wie lange die damit
Bernd Geisen, Regine Hebestreit
PID Arbeiten für Wissenschaft und
3 Regelmäßigkeit: Alle wichtigen Daten ermittelten Informationen gespeichert werden.
werden regelmäßig und sorgfältig gesichert Dies entspricht übrigens auch den Forderungen
Öffentlichkeit GbR
Menzenberg 9, 53604 Bad Honnef (vor Verlust, aber auch vor unbefugtem Zugriff). des Teledienstedatenschutzgesetzes (TDDSG).
Tel.: 02224 90034-0, Fax: 02224 90034-1 3 Standardsicherung: Es wird ein zuver- Hier heißt es (§3 Abs. 5), dass „der Nutzer vor der
info@pid-net.de lässiger Schutz vor Viren und Trojanischen Erhebung über Art, Umfang, Ort und Zweck der
Pferden aufgebaut. Erhebung, Verarbeitung und Nutzung personen-
Mitarbeiter dieser Ausgabe:
Stefanie Teufel, Torsten Esser
3 Verschlüsselung: Alle wichtigen Daten bezogener Daten zu unterrichten ist“.
werden verschlüsselt und digital signiert. Selbstverständlich sollte jedes E-Business-
www.impulse.de
Isabel Münch 3 Isolierung: Jeder Netzanschluss wird Unternehmen seinen Kunden ausdrücklich die
Bundesamt für Sicherheit in der gesichert (z. B. durch Firewalls, Intrusion Möglichkeit anbieten, sensible Daten wie Bestel-
Informationstechnik (BSI) Detection Systeme). lungen oder Zahlungsanweisungen verschlüs-
3 Weitsicht: Auch die Telekommunikations- selt zu übermitteln.
Gestaltung und Produktion: systeme werden in die Sicherheitsbetrachtun-
PRpetuum GmbH, München gen mit einbezogen (z. B. Sicherung von Telefon- Kunden-Info: Was kann der Kunde tun?
anlagen gegen Abhören, Sicherung der Daten- Kunden sollten immer die Möglichkeit haben,
Bildnachweis:
übertragung per Telefonleitung). Techniken oder Methoden auszuschließen, bei
MEV, Photodisc
3 Notfallvorsorge: Was tun im Fall von Daten- denen sie erfahrungsgemäß Sicherheitsbeden-
Druck: verlust? ken haben. Beispiel: Viele animierte Demons-
Druckpunkt Offset GmbH, Bergheim Achtung: Häufig ist zu beobachten, dass trationen auf Webseiten verlangen aktive In-
zwar viele organisatorische oder technische halte wie JavaScript. Anstatt sicherheitsbewuss-
Auflage: 10.000 Sicherheitsverfahren vorhanden sind, diese te Kunden zu dieser Form der Demonstration
jedoch durch den sorglosen Umgang mit der zu „zwingen“, sollte man sie darauf hinweisen,
Schwerpunkt der nächsten Ausgabe:
Technik wieder ausgehebelt werden. dass für eine Demonstration JavaScript im
„Rechtsfragen beim E-Business“
Browser eingeschaltet sein muss, aber diese
Wenn Sie dazu Fragen oder Anregun- Sicherheits-Informationen für Kunden auch ohne JavaScript als einfache Bilderfolge
gen haben oder Fragen zu anderen Ob ein Online-Shop erfolgreich ist oder nicht, betrachtet werden kann.
Themen der e-f@cts, wenden Sie sich hängt nicht zuletzt vom Vertrauen der Kunden
bitte an: ab: Wie seriös ist der unbekannte Geschäftspart-
Bernd Geisen, Regine Hebestreit
ner „am anderen Ende der Leitung”, dem man
PID Arbeiten für Wissenschaft und
sein Geld anvertrauen soll? E-Business-Anbieter
Öffentlichkeit GbR
sollten ihre Kunden daher darüber aufklären,
3 was das Unternehmen leistet, um den
Kunden und seine Daten bestmöglichst zu
schützen;
3 welche Möglichkeiten ein Kunde hat, um
sich selbst zu schützen.