1. Grundprobleme von Datenschutz und Datensicherheit
Gefährdungen der Netz-Sicherheit
Abhören von Netzen auf allen Ebenen
- Elektromagnetische Abstrahlung
[siehe auch c't 6/1996, DER SPIEGEL 36/1996],
- Anzapfen der Leitung,
- Anzapfen von Knotenrechnern (Gateways), Modems, Routern,
- Schnittstellentester, Netzanalyse-Geräte und -Programme (Sniffer),
z. B. DSNIFF.
- Besetzung unbenutzter Anschlüsse, auch im Funk-LAN,
- Manipulation regulärer Anschlüsse.
Lokale Netze (LAN = Local Area Network) sind Diffusionsnetze. Der
gesamte Datenstrom läuft durch jede Station und jedes Kabelsegment.
In Fernverkehrsnetzen (WAN = Wide Area Network) ist der Weg des
Datenstroms oft nicht vorhersehbar, viele Zwischenstationen sind
möglich.
Funkverbindungen (Wireless LAN,
Bluetooth, ...): Wir brauchen uns nicht mehr um kompromittierende
Abstrahlung zu sorgen - wir strahlen absichtlich.
Literaturhinweise
Möglichkeiten der Internet-Nutzung
- Informationssuche, Vorteil: Aktualität und Verfügbarkeit.
- Kommunikation, Vorteil: Zeitnähe, Asynchronität möglich.
- Telekonferenzen, Vorteil: Einsparung von Wegen, Zeit, erleichterte
Terminplanung.
- Home-Banking, E-Commerce, Vorteil: Bequemlichkeit.
- Telemedizin, Vorteil: Leichter Zugriff auf Experten (-wissen).
- Telearbeit, Vorteil: Einsparung von Wegen, Zeit.
Risiken der Internet-Nutzung
Gefährdung von Klienten, Übertragungswegen und Servern durch
- IP-Spoofing - Manipulation von IP-Nummern
- Tunneln von Protokollen
- Software-Fehler (z. B. sendmail, IIS, WWW-Browser)
- Mail-Bomben (Postscript, Word-Makros, ...)
- organisatorische Fehler - z. B. Umgehen von Firewall-Systemen durch
Modem-Anschlüsse
- Automatische Einbrüche
(z. B. SATAN) (»Security Administrator Tool for Analysing
Networks«) und andere Scanner- und Sniffer-Programme
(z. B. ShareSniffer)
Milliardenschäden - hohe Dunkelziffer
Lohnende Ziele für Organisierte Kriminalität:
- E-Commerce,
- Internet-Banking,
- Wirtschaftsspionage,
- Erpressung mit ausgespähten Daten.
Gefährdung von Servern
- Gehackte Webseiten -
- Schaden für das Firmenimage,
- Schaden durch verfälschte Informationen (z. B. Medizin).
- Mängel im Zugriffsschutz von Informationen.
- Sicherheitslücken in CGI-Programmen.
- DoS-Attacken
(Denial
of Service); dies ist die empfindlichste Achillesferse des Internet.
Es ist zwar ausfallsicher auf Transportebene konzipiert, aber nicht auf
Dienste-Ebene.
- Mangelhafte TCP/IP-Implementation.
- ... u. v. a. Einbruchsmöglichkeiten -
Ergebnis oft: Gewinnung von Root- (Administrator-)Rechten.
- Webserver als Einfallstor ins lokale Netz,
als Plattform für weltweite Hacker- oder Spam-Aktivitäten.
Gefährdung von Klienten durch WWW-Browser und Mailprogramme
- Unkontrolliertes Laden von Programmen (aktive Inhalte, mobiler Code)
- ... und evtl. unbemerktes Ausführen -
der »Web-Fehler« von Java und Konsorten
(Java, Javascript, ActiveX, Plug-Ins, Helper-Applications)
- ... z. B. Ausspähen von Benutzeraktionen und Daten
(Spyware).
- Fehler in WWW-Browsern, etwa
Laden von Programmen in den Cache und lokales Ausführen
(z. B. Netscape + Java, CLASSPATH attack).
- Datenspuren (z. B.
Cookies,
REFERER-Feld).
- DNS-Spoofing, Web-Spoofing.
- Karikaturenhafte Implementierung von Zertifikaten.
Aktive Inhalte im World Wide Web
Programme werden geladen und ausgeführt, z. T. unbemerkt:
| JavaScript | Wirkung nur auf
Browser-Fenster. |
|---|
| Java | für Applets Beschränkung
auf »Sandbox«. |
|---|
| ActiveX | voller Zugriff auf
Client-Rechner. |
|---|
| Plug-In | Wirkungsumfang unterschiedlich. |
|---|
... im WWW-Browser, z. T. auch in E-Mail und News-Reader.
Sicherheitseinstellungen der Browser komplex und unübersichtlich.
[s. a. die
OCOCAT-Studie
des BSI].
Tests des Browsers auf Sicherheitsprobleme:
Vorlesung Datenschutz und Datensicherheit,
Johannes-Gutenberg-Universität Mainz
Autor: Klaus Pommerening, 31. März 1999;
letzte Änderung: 13. Juni 2003
E-Mail an
Pommerening@imsd.uni-mainz.de.