Logo und Schriftzug Karsten Ritz DV-Beratungen
Karsten Ritz





Sonstiges | Veröffentlichungen

Sicherheit im Internet

in: HARTMANN-PLAN Newsletter 12/01

Das Internet stellt für Millionen von Benutzern eine wertvolle Quelle von weltweiten Informationen und Diensten dar. In den letzten Jahren ist der Stellenwert des Internets mehr und mehr gewachsen, es ist aus dem täglichen Leben kaum noch wegzudenken. Mit den Segnungen des Internets gehen aber auch Gefährdungen einher, die der Benutzer kennen sollte und denen er durch Kenntnis begegnen kann.

Angriffe auf Computer oder lokale Netzwerke, die an das Internet angeschlossen sind, werden häufiger. Der wichtigste Schutz gegen diese Angriffe ist die umfassende Kenntnis der Benutzer und der Verantwortlichen über die potentiellen Angriffsziele und Schwachstellen der Rechnersysteme.

Die häufigsten Gefährdungen bei der Benutzung des Internets sind:

  • Konfigurationsfehler: Die Rechnersysteme sind mit den Standardeinstellungen eingerichtet. Leider legen viele Hersteller bei der Grundkonfiguration ihrer Systeme mehr Wert auf umfangreiche Funktionen und Komfort als auf Sicherheit. Das führt dazu, daß die Systeme von innen oder von außen mißbraucht werden können.
  • Trojanische Pferde: Programme, die neben ihrer normalen Funktion noch eine versteckte Zusatzfunktion haben, z.B. das Ausspähen von Paßwörtern und das Verschicken ins Internet. Diese Programme tauchen häufig in Form von kleinen Hilfsprogrammen oder Bildschirmschonern auf. Aber auch Betriebssysteme und große Anwendungspakete können nicht autorisierte Daten ins Internet versenden.
  • Konzeptionsfehler: Besonders bei der Anbindung von lokalen Netzwerken an das Internet wird nicht mit der notwendigen Sorgfalt vorgegangen. Unnötig gestartete Programme, die nicht gegen Zugriffe vom Internet oder zum Internet geschützt sind, führen zu unnötigen Sicherheitslücken. 
  • Programmfehler: Nicht sorgfältig programmierte Software, auch und gerade von namhaften Herstellern, verursacht die meisten schwerwiegenden Sicherheitslücken.
  • Verlust der Vertraulichkeit und Integrität: Aus historischen Gründen werden die Daten im Internet standardmäßig im Klartext übertragen. Das bedeutet, daß vertrauliche Daten (z.B. E-Mail) mit einfachen Mitteln ausgespäht werden können. Unverschlüsselte E-Mail im Internet ist wie der Versand von Postkarten mit der klassischen Post. Zusätzlich besteht die Möglichkeit, Daten auf dem Weg durch das Internet zu verändern, wenn keine Methoden zur digitalen Signatur verwendet werden.
  • Paßwörter: Durch die Benutzung von leicht zu erratenden Paßwörtern oder durch anders von Dritten in Erfahrung gebrachten Paßwörtern (z.B. "gelber Zettel" am Monitor) ist erheblicher Mißbrauch möglich.
  • Aktive Inhalte: Durch das automatische Starten von Programmen beim Laden von Internet-Seiten können unbekannte Funktionen ausgeführt werden.

Möglichkeiten zum Schutz

Bevor Rechner oder Rechnersysteme mit dem Internet verbunden werden, sollten die möglichen Gefährdungen analysiert und entsprechende Maßnahmen getroffen werden. Im Rahmen der Analyse sollten folgende Fragen geklärt werden:

  • Welche Programme oder Prozesse können mit dem Internet Daten austauschen (z.B. WWW-Client, E-Mail-Programm. Makros von Textverarbeitungsprogrammen etc.) ?
  • Welche Berechtigungen haben diese Prozesse und welche Daten können sie lesen, schreiben oder ändern ?
  • Können die Prozesse Schadfunktionen haben (Trojanische Pferde) oder Computerviren den Zugang zum Rechnersystem öffnen ?

Auf Grundlage der Ergebnisse sollten die Schutzmaßnahmen getroffen werden:

  • Beschränkung der Nutzung auf nur wirklich benötigte Programme und Dienste
  • Entfernung von nicht benötigten Programmen und Diensten von den Rechnersystemen
  • Abwägung und Minimierung der Nutzung von aktiven Inhalten und Skripten in WWW-Clients und Anwendungsprogrammen
  • Sinnvoller Einsatz der Sicherheitsmaßnahmen der eingesetzten Betriebssysteme
  • Regelmäßige Kontrolle der "Restrisiken" von eingesetzten Programmen und Diensten
  • Nutzung von aktuellen Programmen, die Angriffe selbständig erkennen und melden
  • Schulung und Sensibilisierung der Benutzer für einen verantwortungsvollen Umgang mit dem Internet

Verschlüsseln von Daten

Sensible Daten sollten nicht ungeschützt im Internet übertragen werden. Standardmäßig werden z.B. E-Mails im Klartext versendet, d.h. auf dem Weg vom Sender zum Empfänger kann der Inhalt gelesen und ggf. verändert werden. Die E-Mail ist in dieser Form vergleichbar mit einer Postkarte in der klassischen Post.

Eine Lösung dieses Problems bringen folgende Techniken:

  • Digitale Signatur: Die Daten erhalten einen "digitalen Fingerabdruck", der sicherstellt, daß Daten vom Sender zum Empfänger nicht verändert werden.
  • Verschlüsselung: Die Daten werden beim Sender codiert und beim Empfänger dekodiert, so daß die übertragenen Informationen im Internet auf jeden Fall vertraulich sind.

Grundsätzlich lassen sich zwei Arten von Techniken unterscheiden:

  • Verschlüsselung und Signatur auf Anwendungsebene für die sichere Übertragung von Daten zwischen Personen (z.B. E-Mail)
  • Verschlüsselung und Signatur auf Systemebene für die gesicherte Verbindung von Rechnern oder Rechnersystemen ( z.B. Anbindung ganzer Filialen oder von Telearbeitsplätzen)

Firewalls als Schutzwall gegenüber dem Internet

Internet-Firewalls sind zentrale Übergänge zwischen Rechnern bzw. Rechnersystemen und dem Internet. Die Kommunikation wird aufgrund von festgelegten Regeln gefiltert, so daß nur Daten, die regelkonform sind, die Internet-Firewalls passieren dürfen.

Die Filterung erfolgt grundsätzlich auf zwei verschiedene Arten:

  • Paket-Filter: Datenpakete werden an der Firewall nach Quell- und Zieladresse sowie Dienstkennung überprüft und ggf. abgewiesen
  • Anwendungs-Filter: Die Firewall erkennt, welche Dienste über die Firewall genutzt werden sollen und schaltet diese Dienste dann vom Quell- zum Zielrechner durch. Die interne Netzwerkstruktur, die hinter der Firewall liegt, wird dadurch verborgen. Die Filterung erfolgt auf Benutzer und nicht auf Rechneradressen bezogen.

Links

http://www.bsi.de (Bundesamt für Sicherheit in der Informationstechnik)
http://www.bsi.de/literat/faltbl/sinet.htm (Faltblatt zum Thema "Sicherheit im Internet")

 

Startseite    Inhaltsverzeichnis    Referenzprojekte    Kontakt    Impressum

Systemanalyse    DV-Konzeption    Controlling    Systementwicklung    Internet/Intranet    Schulungen