Beruflich Dokumente
Kultur Dokumente
08 | Februar 2006
e-f@cts
Innovationspolitik, Informationsgesellschaft, Telekommunikation
Informationen
zum E-Business
Schwerpunkt
Sicherheit im E-Business: Risiken
für alle Internetnutzer, Risiken
für Unternehmen; Sicherheits-
maßnahmen für jedes IT-System,
Sicherheitsmaßnahmen für
Unternehmen.
3 ab Seite 1
Fakten & Zahlen Sicherheit im E-Business
Das Internet ist ein offenes Netz, an dem jeder sich dort festsetzt und meist Datenbestände
teilnehmen kann. Das macht seinen „Charme” verändert oder löscht. Erstmalig hat der „I-LOVE-
aus. Der Nachteil dabei ist: Es gibt keine Aufsicht YOU-Virus“ vor nicht allzu langer Zeit einer brei-
oder Kontrollinstanz, die für Sicherheit sorgt. ten Öffentlichkeit deutlich gemacht, wie groß
3 ab Seite 3 Für die Sicherheit ist jeder Nutzer selbst verant- ein solcher Schaden sein kann, sowohl bei priva-
wortlich. ten PCs als auch in großen Unternehmensnetzen.
E-Business-ABC Mit Sicherheit ist dabei in erster Linie der Trojanische Pferde: Ein Trojanisches Pferd ist
sichere Transport und die sichere Speicherung ein Programm, das – nicht erkennbar – in ein
Aktive Inhalte, ActiveX, Browser, von Daten gemeint. Aber auch die angeschlos- für Nutzer attraktives „Wirtsprogramm” einge-
Cache, Cookie, History, Java, senen Rechner können bei Sicherheitsproble- bettet ist. Dieses „Wirtsprogramm” wird bei-
Javascript, SSL men in Mitleidenschaft gezogen werden. spielsweise zum Download angeboten oder als
3 ab Seite 4 Gefahren drohen dabei übrigens nicht nur Anhang an E-Mails verschickt. Öffnet man dieses
von außen. Gerade in Unternehmen entstehen „Wirtsprogramm”, wird die verdeckte Software
Sicherheitsprobleme auch von innen. Dies wird gestartet und richtet Schaden auf der Festplatte
immer wieder übersehen und führt – bei noch oder im Netz eines Nutzers an.
so großem Bemühen um Unverwundbarkeit – Kein Schutz gegen aktive Inhalte: Gerade so
Praxis & Technik zwangsläufig zu Lücken in den Sicherheitsvor- genannte Standardsoftware (z. B. Internet-Ex-
kehrungen. plorer als Browser) wird unnötigerweise da-
Virenschutz und durch zur „Zeitbombe”, dass vorhandene Sicher-
Browser-Sicherheits-Tipps Risiken für alle Internetnutzer heitsoptionen nicht genutzt werden – beispiels-
3 Seite 6 Viren: Ein Computer-Virus ist ein Programm, weise die Option, aktive Inhalte (Java, JavaScript,
das z. B. per E-Mail, Download oder den Aus- ActiveX) fremder Internetseiten nicht zuzulas-
tausch von Disketten in einen Computer gelangt, sen (s. Praxis & Technik, S. 6). Aktive Inhalte sind
2 Schwerpunkt
Sicherheit im
E-Business
betrifft dann oft nicht nur einzelne IT-Sicher- Cash oder ecash wurden bereits wieder einge- Gefahren drohen nicht nur von
heitsprozesse, sondern nicht selten auch den stellt. Es wird noch eine Zeitlang dauern, bis sich außen. Gerade in Unternehmen
gesamten IT-Betrieb. Häufig ist zu beobachten, die ersten Verfahren „internetweit“ etabliert ha- entstehen Sicherheitsprobleme
dass zwar eine Vielzahl von organisatorischen ben. Bis dahin müssen Händler auch Zahlungs- auch von innen. Dies wird immer
oder technischen Sicherheitsverfahren vorhan- verfahren als Übergangslösungen anbieten, die wieder übersehen und führt zu
den ist, diese jedoch durch den sorglosen Um- weniger sicher sind als die speziell für den Elec- Lücken in den Sicherheitsvorkeh-
gang mit der Technik wieder ausgehebelt wer- tronic-Commerce entwickelten Verfahren: wie rungen.
den. Ein typisches Beispiel hierfür sind die fast im herkömmlichen Versandhandel per Kredit-
schon sprichwörtlichen Zettel am Monitor, auf karte, per Nachnahme, Lastschrift oder Über-
denen alle Zugangspasswörter notiert sind. weisung. Wichtig: Unternehmen sollten ihren
Kunden anbieten, in jedem Fall personenbezo-
Risiken für E-Business-Kunden gene Daten verschlüsselt zu senden (SSL). (Wei-
Kundendaten nicht vertraulich behandelt: tere Informationen hierzu in ef@cts 13 „Zahlungs-
Viele potenzielle Kunden sind wegen ihrer Si- verkehr im Internet“).
cherheitsbedenken zurückhaltend beim Thema
E-Business. Oft erfragen E-Business-Anbieter Angriffe abwehren
sinnvolle, aber auch überflüssige Angaben von Virenschutzprogramme: Virenschutzpro-
ihren Kunden. Auf Seiten der Kunden ist hier gramme überprüfen Datenträger auf eventu-
das erstaunliche Verhalten zu beobachten, dass elle Computer-Viren. Eine solche Überprüfung
sie einerseits (z. B. bei Gewinnspielen) eine Un- sollte sowohl die am Arbeitsplatz benutzten Da-
menge persönlicher Daten bedenkenlos wei- tenträger als auch sämtliche Datenträgerzu-
tergeben, andererseits aber von Bestellungen gänge (z. B. Internet, E-Mail) umfassen.
über das Internet zurückscheuen, weil sie ihre
Adresse angeben müssen. Allerdings haben
eben auch viele Kunden gerade beim E-Business Fälle von Computerkriminalität
schlechte Erfahrungen damit gemacht, dass Betrug mit rechtswidrig erlangten Kreditkarten mit PIN
ihre Kundendaten z. B. an andere Unternehmen 35.954
weitergegeben wurden: Sie hatten einmal im 36.088
Internet bestellt, und anschließend wurde so- Computerbetrug (§ 263a StGB)
wohl ihr Briefkasten an der Haustür als auch ihr 11.388
14.186
E-Mail-Postfach mit Werbepost übeschwemmt.
Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten
Kundendaten nicht gesichert: Kunden be- 7.003
fürchten (nicht zu Unrecht), dass ihre Daten zu- 7.357
weilen unsicher gespeichert oder unsicher in Datenveränderung, Computersabotage
andere Untersysteme der EDV weiter geleitet 1.705
werden (z. B. Rechnungswesen). Einige Händler 3.130
gehen erfahrungsgemäß so fahrlässig mit Kun- Softwarepiraterie (private Anwendung z. B. von Computerspielen)
2.053
dendaten um, dass diese von Hackern ohne Pro- 2.782
bleme gelesen werden können.
Ausspähen von Daten
„Wolf im Schafspelz” – „Spoofing”: Viele 781
Kunden haben negative Erfahrungen mit 1.743
„Spoofing“ gemacht. Ein Kommunikationspart- Softwarepiraterie (gewerbsmäßiger Handel)
ner täuscht vor, jemand Anderes zu sein, und 570
1.117
dies normalerweise nicht mit guten Absichten.
Fälschung beweiserheblicher Daten, Täuschung im
Bezahlen über das Internet: Es gibt diverse Ver-
Rechtsverkehr bei Datenverarbeitung
fahren, die zur Zahlungsabwicklung über das In- 237 2003
ternet entwickelt wurden, die meisten befinden 570 2004
sich aber noch im Stadium von Pilotversuchen.
Quelle: BKA 2005
Andere, vielversprechende Verfahren wie Cyber
4 Schwerpunkt
Sicherheit im
E-Business
E-Business-ABC Vorsicht: Es gibt immer wieder neue und anders- Firewalls: Firewall bedeutet wörtlich „Feuer-
Aktive Inhalte artige Computer-Viren, so dass ältere Viren- schutzwand“ oder „Brandmauer“. Es handelt
Computerprogramme, die in schutzprogramme mit der Zeit ihre Wirksamkeit sich hier um eine Hardware oder Software, die
Internetseiten bereits enthalten verlieren, da sie nur die zu ihrem Entstehungs- den Zugang zu internen Datensystemen etwa
sind oder beim Aufenthalt auf zeitpunkt bekannten Computer-Viren berück- von Unternehmen (z. B. Intranets) beschränkt
einer Internetseite automatisch sichtigen. Daher müssen sie regelmäßig (eigent- oder verhindert. Dabei ist auch zu prüfen,
nachgeladen werden. Häufig ist lich täglich) aktualisiert werden. Virenschutz- inwieweit das zu schützende Unternehmens-
bei einem Klick auf einen Link programme sind im Handel erhältlich oder netz unterteilt werden kann, so dass nicht das
nicht klar ersichtlich, dass damit können aus dem Internet heruntergeladen gesamte Netz, sondern vielleicht nur ein
ein aktiver Inhalt gestartet wird. werden. geringer Teil mit dem Internet verbunden ist.
Aktive Inhalte können gezielt zu Auch die Verwendung der digitalen Signa-
dem Zweck erstellt worden sein, tur kann dem Virenschutz dienen (s. Sicher- Angriffe erfassen: Intrusion Detection Systeme
vertrauliche Daten des Benutzers heitsmaßnahmen in Unternehmen, S.5): Wenn Hacker-Angriffe auf ein Netzwerk lassen sich er-
auszuspionieren. Die wichtigsten nämlich E-Mails immer mit einer „digitalen kennen: in den Zugriffs-Daten, die jede Firewall
Beispiele für aktive Inhalte sind Signatur“ elektronisch unterschrieben wären, durch einen automatischen Firewall-Administra-
„Java“, „JavaScript“ und „ActiveX“. wüssten die Empfänger, wer ihnen was gesen- tor protokolliert. Schwierig ist allerdings, eine
det hat – immerhin 99 Prozent aller Massen- Attacke in der Fülle der Daten und bei der Viel-
Viren erreichen die Empfänger mit gefälschten zahl und Komplexität der verschiedenen Angriffs-
Absendern und zweifelhaften Inhalten. möglichkeiten zu entdecken. Intrusion Detection
(ID) und Intrusion Response (IR) Systeme können
hierbei helfen.
Bedenken gegen Internet-Kauf ID-Systeme unterstützen einen Firewall-
Antworten in % Administrator dabei, einen Angriff aus einer
großen Anzahl von Protokolldaten herauszu-
Geld-Rückerstattung
42 lesen. IR-Systeme dagegen dienen dazu, auto-
38 matisch Gegenmaßnahmen einzuleiten, sobald
ein Angriff erkannt wird. Zurzeit sind Intrusion
Lieferung (beschädigt, verspätet, nicht erfolgt usw.) Detection Systeme allerdings noch kein Allheil-
40 mittel gegen Angriffe von außen, sondern noch
36
mit diversen Problemen behaftet, so dass sie auf
Sicherheit beim Bezahlen
keinen Fall als Ersatz für andere Sicherheitsmaß-
38 nahmen, sondern nur als Ergänzung für diese
48 eingesetzt werden sollten.
Sowohl Firewalls als auch Intrusion Detec-
Glaubwürdigkeit der Informationen im Internet tion Systeme werden von Spezialanbietern ver-
32
27
kauft. Welche Firewall bzw. welches Intrusion
Detection System empfehlenswert ist und für
keine Bedenken bestimmte Unternehmen in Frage kommt, wird
23 immer wieder von Fachzeitschriften getestet.
23
Verbraucherschutz
21
23
E-Business-ABC
Angreifbarkeit Sicherheitsmaßnahmen
ActiveX
vermindern in Unternehmen Mit Hilfe von ActiveX können
interaktive Softwarekomponen-
Verschlüsselung von Nachrichten Keine „Monokulturen” ten aus beliebigen Programmier-
Bei der Online-Übertragung von Nachrichten Unternehmens-Netzwerke sollten nicht an jeder sprachen in Webseiten eingebun-
sollten sich alle Kommunikationspartner darü- Stelle mit derselben Standardsoftware ausgestat- den werden. Dadurch werden
ber im klaren sein, dass unverschlüsselte Nach- tet sein: also keine „Monokulturen”, in der jeder z. B. Multimedia-Effekte oder
richten während ihres gesamten Weges unbe- einzelne Server und jeder PC von einem Virus be- interaktive Objekte lebendig.
merkt gelesen, geändert bzw. abgefangen wer- fallen werden könnte. Dort, wo dennoch bekann-
den können. Daher ist zu überlegen, ob die Nach- termaßen anfällige Software genutzt wird, soll- Browser
richten verschlüsselt und/oder digital signiert ten die bestehenden Sicherheitsmöglichkeiten Software, mit deren Hilfe im
werden sollten. Auch innerhalb eines Unterneh- aktiviert werden (s. Praxis & Technik, S.6). Internet gesucht und Inhalte auf
mens sollten alle sensiblen Geschäftsdaten vor einem Monitor sichtbar gemacht
den Augen Dritter durch Verschlüsselung ge- Verbraucherfreundliche Technologien werden können (z. B. Internet
schützt werden. Besonders wichtig für die Ver- Der Erfolg von E-Business-Unternehmen steht Explorer, Netscape-Navigator).
schlüsselung und z. B. für eine digitale Signatur: und fällt mit der Gewährleistung von Daten- und Diese Browser können auch für
3 Ohne ein verwendetes Verschlüsselungs- Verbraucherschutz. Daher sollten Internet-Händ- die Nutzung von Multimedia-CDs
programm (Algorithmus) darf es nicht möglich ler ihre Internet-Angebote so gestalten, dass diese verwendet werden.
sein, einen verschlüsselten Text zu rekonstru- Fortsetzung auf Seite 7
ieren. Nicht in jedem Fall macht aber ein hoch-
komplizierter Schlüssel Sinn. „Nicht möglich“
bedeutet daher, dass der erforderliche Auf- Warum kaufen Sie nichts im Internet?
wand zum „Knacken“ des Schlüssels größer sein Antworten in %
sollte als der Informationsgewinn, den man so
kein Zugang zum Internet
erzielen könnte. 64
3 Das Verschlüsselungsprogramm muss gut 57
funktionieren. Leider sind viele der in Unterneh-
kein Interesse an Angeboten im Internet
men eingesetzten Verschlüsselungssysteme von 36
zweifelhafter Qualität. Einige Programme haben 28
Konstruktionsfehler oder sind unverständlich. kein Vertrauen ins Internet
3 Die Schlüssel und der verschlüsselte Text 20
dürfen nicht zusammen auf einem Datenträger 25
gespeichert werden. Einkaufen im Internet zu kompliziert
3 Zur Verschlüsselung wird häufig SSL (Secure 10
Socket Layer) eingesetzt. SSL hat den Vorteil, dass 7
es in jedem Standard-Browser integriert ist und Internetnutzung zu teuer
die Kunden keine weitere Software installieren 9
müssen. 5
Sprachschwierigkeiten Deutschland
3
2 EU 15
Quelle: Eurobarometer 2004
6 Praxis & Technik
Sicherheit im
E-Business
Impressum 3 Erreichbarkeit: Zutritt (in Räume), Zugang Kunden-Info: Was tut das Unternehmen?
Herausgeber: (zu PCs oder Netzwerken), Zugriff (auf bestimm- Insbesondere sollte den Konsumenten erklärt
Bundesministerium für Wirtschaft
te Daten) zu den IT-Systemen werden begrenzt. werden, in welchem Umfang und wofür Daten
und Technologie (BMWi)
Öffentlichkeitsarbeit 3 Zuständigkeit: Wer ist wofür verantwort- über sie erhoben werden und wie diese vor Miss-
11019 Berlin lich? brauch geschützt werden. Beispiele: Wie sind
info@bmwi.bund.de 3 Qualifikation: Das Personal wird für IT-Sicher- personenbezogene Daten im Unternehmen ge-
www.bmwi.de heitsbelange sensibilisiert und so geschult, dass schützt? Falls Cookies verwendet werden, sollte
es in seinen Aufgabenbereichen maximale Si- man den Kunden darüber informieren, welchem
Redaktion: cherheit umsetzen kann. Zweck sie dienen sollen und wie lange die damit
Bernd Geisen, Regine Hebestreit
PID Arbeiten für Wissenschaft und
3 Regelmäßigkeit: Alle wichtigen Daten ermittelten Informationen gespeichert werden.
werden regelmäßig und sorgfältig gesichert Dies entspricht übrigens auch den Forderungen
Öffentlichkeit GbR
Menzenberg 9, 53604 Bad Honnef (vor Verlust, aber auch vor unbefugtem Zugriff). des Teledienstedatenschutzgesetzes (TDDSG).
Tel.: 02224 90034-0, Fax: 02224 90034-1 3 Standardsicherung: Es wird ein zuver- Hier heißt es (§3 Abs. 5), dass „der Nutzer vor der
info@pid-net.de lässiger Schutz vor Viren und Trojanischen Erhebung über Art, Umfang, Ort und Zweck der
Pferden aufgebaut. Erhebung, Verarbeitung und Nutzung personen-
Mitarbeiter dieser Ausgabe:
Stefanie Teufel, Torsten Esser
3 Verschlüsselung: Alle wichtigen Daten bezogener Daten zu unterrichten ist“.
werden verschlüsselt und digital signiert. Selbstverständlich sollte jedes E-Business-
www.impulse.de
Isabel Münch 3 Isolierung: Jeder Netzanschluss wird Unternehmen seinen Kunden ausdrücklich die
Bundesamt für Sicherheit in der gesichert (z. B. durch Firewalls, Intrusion Möglichkeit anbieten, sensible Daten wie Bestel-
Informationstechnik (BSI) Detection Systeme). lungen oder Zahlungsanweisungen verschlüs-
3 Weitsicht: Auch die Telekommunikations- selt zu übermitteln.
Gestaltung und Produktion: systeme werden in die Sicherheitsbetrachtun-
PRpetuum GmbH, München gen mit einbezogen (z. B. Sicherung von Telefon- Kunden-Info: Was kann der Kunde tun?
anlagen gegen Abhören, Sicherung der Daten- Kunden sollten immer die Möglichkeit haben,
Bildnachweis:
übertragung per Telefonleitung). Techniken oder Methoden auszuschließen, bei
MEV, Photodisc
3 Notfallvorsorge: Was tun im Fall von Daten- denen sie erfahrungsgemäß Sicherheitsbeden-
Druck: verlust? ken haben. Beispiel: Viele animierte Demons-
Druckpunkt Offset GmbH, Bergheim Achtung: Häufig ist zu beobachten, dass trationen auf Webseiten verlangen aktive In-
zwar viele organisatorische oder technische halte wie JavaScript. Anstatt sicherheitsbewuss-
Auflage: 10.000 Sicherheitsverfahren vorhanden sind, diese te Kunden zu dieser Form der Demonstration
jedoch durch den sorglosen Umgang mit der zu „zwingen“, sollte man sie darauf hinweisen,
Schwerpunkt der nächsten Ausgabe:
Technik wieder ausgehebelt werden. dass für eine Demonstration JavaScript im
„Rechtsfragen beim E-Business“
Browser eingeschaltet sein muss, aber diese
Wenn Sie dazu Fragen oder Anregun- Sicherheits-Informationen für Kunden auch ohne JavaScript als einfache Bilderfolge
gen haben oder Fragen zu anderen Ob ein Online-Shop erfolgreich ist oder nicht, betrachtet werden kann.
Themen der e-f@cts, wenden Sie sich hängt nicht zuletzt vom Vertrauen der Kunden
bitte an: ab: Wie seriös ist der unbekannte Geschäftspart-
Bernd Geisen, Regine Hebestreit
ner „am anderen Ende der Leitung”, dem man
PID Arbeiten für Wissenschaft und
sein Geld anvertrauen soll? E-Business-Anbieter
Öffentlichkeit GbR
sollten ihre Kunden daher darüber aufklären,
3 was das Unternehmen leistet, um den
Kunden und seine Daten bestmöglichst zu
schützen;
3 welche Möglichkeiten ein Kunde hat, um
sich selbst zu schützen.