1.
IT-Sicherheit, E-Business und E-Commerce
Michael Moser, MSc
2. Vorbemerkung
ACHTUNG
–
DEnglisch
Viele
Begriffe
sind
schlecht
zu
übersetzen
und
haben
sich
daher
DEnglisch
durchgesetzt
–
im
Zweifelsfall
biCe
nachfragen!
3.
IT-Sicherheit
4.
IT-Sicherheit Grundlegendes
TCP/IP
wurde
in
den
1970ern
nicht
für
Sicherheit
designed,
sondern
für
schwachbrüsOge
Prozessoren
und
Durchsatz!
TCP/IP
=
Transmission
Control
Protocol
/
Internet
Protocol
Jedes
Endgerät
hat
65.535
Ports
=
„Türen“,
die
von
unterschiedlichen
Übertragungsprotokollen
genutzt
werden
können,
das
sind
65.535
mögliche
–
von
Außen
(!)
erreichbare
Schwachstellen
in
jedem
Gerät!
5.
IT-Sicherheit Grundlegendes
jedes
Gerät
heißt:
PCs,
Nintendos,
iPods
und
Pads,
Smartphones,
Router,
Kabelmodems,
WLans
…
…
aber
auch
DVD-‐Player,
Fernseher,
Spielkonsolen,
demnächst
Eiskästen
…
Fazit:
Es
gibt
keine
sichere
IT-‐InstallaOon!
6. (ein paar) Begriffe I
Hacker
–
Bastler
–
die
Guten
• Hacks
„erfinden“
FunkOonen,
für
die
das
ursprüngliche
Ding
nicht
gedacht
war
• Beispiele:
– Gummiringe
um
Messergriffe
– Zeitungspapier
staC
Rehleder
zum
Fensterputzen
– Laufmasche
mit
UHU
stoppen
• Abgrenzung
zwischen
Hacks
und
Cracks
ist
die
Absicht,
die
dahintersteht
7. (ein paar) Begriffe II
Cracker
–
Knacker
–
die
Bösen
wie
in
Panzer-‐Kn.
• Cracks
„missbrauchen“
Dinge
für
letztlich
gefährliche
FunkOonen
• Beispiele:
– Sicherungen
durch
Nägel
ersetzen
– Stromzähler
umgehen
– Leistung
von
Autos
erhöhen
ohne
Eintragung
• Abgrenzung
Streich
–
Kavaliersdelikt
–
Kriminalität
(?!)
8. (ein paar) Begriffe III
Virus
–
Schadsomware
• Viren
haben
ihren
Ursprung
im
„Game
of
Life“
–
kleine
Programme
sollten
den
vorhandenen
Hauptspeicher
voll-‐
und
ihre
Konkurrenten
über-‐schreiben
• Viren
waren
in
den
1990ern
eher
ein
Streich
und
haben
ihre
Wirtssysteme
gelöscht
• seit
2005
(?)
sind
Viren
als
Trojaner
eine
Industrie
9. (ein paar) Begriffe IV
Trojaner
–
Schadsomware
Trojaner
befallen
Rechner
und
nutzen
ihre
Wirtssysteme
• um
Daten
auszuspionieren
– Kontonummern,
TANs
– Passwörter,
e-‐mail
Adressen
• Botnetze
(RoBOTer
Netze)
zu
bilden
– SPAM-‐ACacken
– DDOS-‐Angriffe
– Phishing-‐ACacken
10. (ein paar) Begriffe Forts.
Firewall
–
Feuermauer
zum
Internet
• schließt
nicht
benöOgte
Ports
• schützt
damit
vor
Angriffen
(bedingt)
Achtung:
• nur
Profis
wissen,
welche
Ports
wirklich
nicht
benöOgt
werden
(Skype,
Youtube,
…)
Arten:
• Netzfirewalls
am
Router
• Personal
Firewalls
am
Endgerät
11. (ein paar) Begriffe Forts.
Würmer
–
Viren
ohne
Wirtsbedarf
SPAM
–
unverlangte
e-‐mail
DOS
–
Denial
of
Service
DDOS
–
Distributed
Denial
of
Service
Puffer-‐Überlauf
–
Programmfehler,
genutzt
für
Exploit
–
Ausnutzen
einer
Schwachstelle
für
Code-‐InjecOon
–
einschleusen
von
Schadsomware
zu
Privilege
EscalaOon
–
Erhöhung
der
Nutzer-‐Rechte
Zero
Day
Exploit
–
öffentlich
unbekannt!
12. (ein paar) Begriffe letzte!
Social
Engineering
–
Andere
dazu
bringen
das
zu
tun
was
ich
will
• Geheimnisse
verraten
• Trojaner
installieren
• Phishing
–
Password+Fishing
• Mehrwertnummern
anrufen
• Mehrwert-‐SMS
beantworten
• Mobiltelefonviren
öffnen
13. Gegenmaßnahmen I
• Firewall
am
Endgerät
akOvieren
• verfügbare
(Hersteller-‐)
Updates
einspielen
• Virenscanner
installieren
– kostenpflichOg:
McAfee,
Kaspersky,
Norton,
…
– kostenfrei:
Avast,
Avira,
…
• keine
unbekannte
Somware
installieren
• keine
unbekannten
e-‐mail
Anhänge
öffnen
• Vorsicht
mit
USB-‐SOcks
• Vorsicht
auf
Web-‐Seiten
• Vorsicht
auf
facebook
–
auch
dort
gibt
es
links
zu
Trojanern
14. Gegenmaßnahmen II
• WLans
absichern
– Namen
nicht
„broadcasten“
– MAC-‐Adressen
beschränken
– WPA2
verschlüsseln
…
wenn
Sie
unsicher
sind,
rufen
Sie
einen
Profi
• Smartphones
und
Tablets
absichern
– iPhone:
nicht
möglich
(angeblich
sicher
…)
– Android:
Virenscanner
installieren
15. Gegenmaßnahmen III
• Social
Engineering
erkennen:
– Phishing
e-‐mails:
Zugang
wird
gesperrt,
wenn
Sie
nicht
Ihre
Nutzerkennung
und
Passwort
eingeben
– Daten
Downloads
entpuppen
sich
als
InstallaOonen
– facebook-‐links
versprechen
sensaOonelles
– GraOs-‐Downloads
nur
nach
InstallaOon
von
Somware
– Registrierung
nur
mit
Rechnungsadresse
– Kreditkarten
Daten
auf
ungesicherten
Seiten
(hCp:)
– Kreditkarten
Daten
auf
unbekannten
gesicherten
Seiten
(hCps:)
…
16. Restrisiko
• Internet
Router
der
Provider:
sind
om
haarsträubend
fehlerham
program-‐
miert;
ein
Austausch
wird
aus
wirtschamlichen
Gründen
om
nicht
durchgeführt
auch
nachdem
die
Schwachstellen
öffentlich
werden!
• Smartphones
ohne
Virenscanner
• Zero-‐Day
Exploits
• der
Virenscanner
Somware
noch
unbekannte
Viren
17. Verantwortung
Letztlich
ist
jede
Sicherheitsmaßnahme
mit
ausreichend
krimineller
Energie
zu
knacken!
Die
Einhaltung
von
Best-‐PracOses
schützt
uns
aber
im
Ernsvall!
Auch
andere
LebenssituaOonen
sind
nicht
risikofrei!
Hundehalter
mit
• Hundeschulbesuch,
• Leine
und
• Beißkorb
gehen
aber
ein
bedeutend
geringeres
Risiko
ein,
falls
trotz
allem
doch
etwas
passiert!
18.
e-business
19. e-business
IBM
haCe
den
Begriff
in
den
1990er
Jahren
durch
Werbekampagnen
populär
gemacht
und
dort
die
Schreibweise
„eBusiness“
benutzt.
IBM
definiert
den
Begriff
als
„Neugestaltung
strategischer
Unternehmensprozesse
und
die
BewälOgung
der
Herausforderungen
eines
neuen
Marktes,
der
sich
zunehmend
durch
Globalisierung
auszeichnet
und
auf
Wissen
basiert.“
Seite
„E-‐Business“.
In:
Wikipedia,
Die
freie
Enzyklopädie.
Bearbeitungsstand:
29.
Dezember
2012,
08:09
UTC.
URL:
hCp://de.wikipedia.org/w/index.php?Otle=E-‐Business&oldid=112205485
(Abgerufen:
3.
Januar
2013,
21:41
UTC)
20. e-business
e-‐business
ist
heute
letztlich
alles:
• e-‐banking
• e-‐logisOk
• e-‐Kleinanzeigen
• e-‐…
Elektronische
TransakOonsunterstützung
hat
alle
Bereiche
der
Gesellscham,
ProdukOon
und
Dienstleistung
durchdrungen
und
ist
nicht
mehr
wegzudenken
21. e-business
e-‐business
muss
„sicher“
sein:
• fälschungssicher
• missbrauchsgeschützt
• verschlüsselt
Basis
Technologie:
• SSL-‐Verschlüsselung
(Secure
Socket
Layer)
• relaOv
sichere
Verschlüsselung
(Stand
2013)
• Basis
auch
für
hCps
im
Internet
22. SSL Verschlüsselung
• derzeit
„State
of
the
Art“
• zwischen
zwei
Endpunkten
nicht,
bzw.
nur
mit
erheblichem
Aufwand
zu
knacken.
Gefahren:
• Trojaner
spionieren
am
Kundenendgerät
• Daten
werden
vom
entschlüsselnden
Server
gestohlen
• Social
Engineering
23. SSL Verschlüsselung
nicht
sicher
(nicht
nur)
in
öffentlichen
WLans,
wenn
der
login,
aber
nicht
die
weitere
KommunikaOon
verschlüsselt
ist
• login
über
hCps
• Rest
über
hCp
(session
cookie
hijacking)
hCp://www.youtube.com/watch?
v=O3NAM8oG1WM
24. e-banking
• Verfügernummer
• Passwort
• PIN
• TAN
– in
letzter
Zeit
UmsOeg
von
TAN-‐Listen
auf
– SMS-‐TAN
à
deutlich
erhöhte
Sicherheit!
25. e-health
Sehr
interessantes
Konzept
und
vielversprechender
Ansatz:
• PaOentendaten
unabhängig
von
Ansprechbarkeit
verfügbar
• Vermeidung
doppelter
Diagnoseaufwände
• lückenlose
Anamnese
• dokumenOerte
Vorgeschichte
Fragestellung
–
Sicherheit
vor
Missbrauch?
26.
Datensammlung als Problem
generell
sind
große
Datensammlungen
ein
Problem:
• eine
Kreditkartennummer
mühsam
zu
klauen
• viele
Kreditkartennummern
auch,
aber
mehr
wert
Das
gilt
ebenso
für
Gesundheitsdaten
o.
ä.
Beispielsfall
schlecht
gesicherte
Server
der
GIS
27. e-Betrug
• Vorsicht
bei:
– Mehrwert
SMS
– unbeantwortete
Anrufe
von
0900-‐Nummern
– Somware,
die
per
SMS
oder
Bluetooth
kommt
vermeiden!
– Internet
Abzocke:
Im
Internet
ist
wirkich
alles
graOs,
wenn
Sie
eine
Rechnungsadresse
eingeben
müssen,
lassen
Sie
es
bleiben!
• Im
Novall
(Rechnung
kommt):
www.ombudsmann.at
28.
e-commerce
29. Einkaufen im Internet
De
iure
ist
alles
geregelt:
• EU-‐Fernabsatzrichtlinie
• NaOonalstaatliche
Umsetzungen
De
facto
ist
es
komplizierter:
• Kleinunternehmer
• grenzüberschreitende
Portokosten
• Risiko
der
GraOs
Rücksendung
• Transportdienste
überwälzen
Risiko
für
Bruch
und
Verpackung
30. EU Fernabsatz-Richtlinie
• Umfassende
InformaOon
rechtzeiOg
vor
Abschluss
des
Vertrages;
• BestäOgung
dieser
InformaOonen
auf
einem
dauerhamen
Datenträger
(schrimlich
o.ä.);
• Widerrufsrecht
des
Verbrauchers
innerhalb
einer
Frist
von
sieben
Werktagen;
• Erfüllung
des
Vertrages
binnen
30
Tagen
ab
dem
Tag
der
Bestellung
durch
den
Verbraucher;
• Schutz
vor
betrügerischer
Verwendung
der
Zahlungskarte
des
Verbrauchers;
• Schutz
vor
unbestellten
Waren
oder
Dienstleistungen;
• Verbraucher
können
die
ihnen
durch
diese
Richtlinie
garanOerten
Rechte
nicht
vertraglich
ausschließen
oder
auf
sie
verzichten.
Quelle:
hCp://ec.europa.eu/consumers/cons_int/safe_shop/dist_sell/index_de.htm
31. in AT – §5 KSchG
§
5a.
(1)
Die
§§
5c
bis
5i
gelten
für
Verträge,
die
unter
ausschließlicher
Verwendung
eines
oder
mehrerer
FernkommunikaOonsmiCel
geschlossen
werden
[…]
§
5e.
(1)
Der
Verbraucher
kann
von
einem
im
Fernabsatz
geschlossenen
Vertrag
oder
einer
im
Fernabsatz
abgegebenen
Vertragserklärung
bis
zum
Ablauf
der
in
Abs.
2
und
3
genannten
Fristen
zurücktreten.
Es
genügt,
wenn
die
RücktriCserklärung
innerhalb
der
Frist
abgesendet
wird.
(2)
Die
RücktriCsfrist
beträgt
sieben
Werktage,
wobei
der
Samstag
nicht
als
Werktag
zählt.
Sie
beginnt
bei
Verträgen
über
die
Lieferung
von
Waren
mit
dem
Tag
ihres
Eingangs
beim
Verbraucher,
bei
Verträgen
über
die
Erbringung
von
Dienstleistungen
mit
dem
Tag
des
Vertragsabschlusses.
§
5g
(2)
An
Kosten
dürfen
dem
Verbraucher
nur
die
unmiCelbaren
Kosten
der
Rücksendung
auferlegt
werden,
sofern
die
Parteien
dies
vereinbart
haben.
Quelle:
hCp://www.internet4jurists.at/gesetze/bg_fernabsatz01.htm
32. Einkaufen im Internet
posiOve
Auswirkungen:
• weltweiter
Marktplatz
• internaOonales
Angebot
• weltweiter
Preisvergleich
• auch
seltene
Gegenstände
leicht
bescha•ar
• weltweiter
Flohmarkt
• „vergriffen“
gibt’s
nicht
mehr
• „long
tail“
33. Einkaufen im Internet
negaOve
Auswirkungen:
• unerfahrene
Verkäufer
• schlechte
Verpackung
• Betrüger
• ebay
verrufen
als
„größte
Hehlerpla•orm
der
Welt“
• Risiko
Kreditkartendaten
aus
der
Hand
zu
geben
34. Einkaufen im Internet
Rahmenbedingungen:
• Rücksendekosten
in
den
Kaufpreis
einrechnen
• Besser
lokal
einkaufen,
wenn
der
Preisvorteil
klein
ist
• Beratung
ist
kaum
noch
zu
bekommen,
weil
die
Margen
dafür
nicht
vorhanden
sind
• Beratung
honorieren
durch
Einkauf
beim
Beratenden
35. Einkaufen im Internet
Best
pracOses
I:
• persönlich
abholen
und
bezahlen
• große
Marktplätze
mit
Bewertungssystemen
nutzen
– amazon
– ebay
• Bezahlkonzentratoren
nutzen
– amazon
Marketplace
– paypal
36. Einkaufen im Internet
Fragen
und
Antworten
zur
Praxis:
•
•
•
•
•
•
•
37. Ende „offizieller Teil“
weitere
offene
Fragen
und
Antworten:
•
•
•
•
•
•
•