seniorenuni, sicherheit, e-business, e-commerce
DESCRIPTION
Vortrag im Rahmen der SeniorenUni am IMC Krems zu den Themen IT-Sicherheit, E-Business, E-CommerceTRANSCRIPT
IT-Sicherheit, E-Business und E-Commerce
Michael Moser, MSc
Vorbemerkung
ACHTUNG – DEnglisch
Viele Begriffe sind schlecht zu übersetzen
und haben sich daher DEnglisch durchgesetzt
– im Zweifelsfall biCe nachfragen!
IT-Sicherheit
IT-Sicherheit Grundlegendes
TCP/IP wurde in den 1970ern nicht für Sicherheit designed, sondern für schwachbrüsOge Prozessoren und Durchsatz! TCP/IP = Transmission Control Protocol / Internet Protocol Jedes Endgerät hat 65.535 Ports = „Türen“, die von unterschiedlichen Übertragungsprotokollen genutzt werden können, das sind 65.535 mögliche – von Außen (!) erreichbare Schwachstellen in jedem Gerät!
IT-Sicherheit Grundlegendes
jedes Gerät heißt: PCs, Nintendos, iPods und Pads, Smartphones, Router, Kabelmodems, WLans … … aber auch DVD-‐Player, Fernseher, Spielkonsolen, demnächst Eiskästen … Fazit: Es gibt keine sichere IT-‐InstallaOon!
(ein paar) Begriffe I
Hacker – Bastler – die Guten • Hacks „erfinden“ FunkOonen, für die das ursprüngliche Ding nicht gedacht war
• Beispiele: – Gummiringe um Messergriffe – Zeitungspapier staC Rehleder zum Fensterputzen – Laufmasche mit UHU stoppen
• Abgrenzung zwischen Hacks und Cracks ist die Absicht, die dahintersteht
(ein paar) Begriffe II
Cracker – Knacker – die Bösen wie in Panzer-‐Kn. • Cracks „missbrauchen“ Dinge für letztlich gefährliche FunkOonen
• Beispiele: – Sicherungen durch Nägel ersetzen – Stromzähler umgehen – Leistung von Autos erhöhen ohne Eintragung
• Abgrenzung Streich – Kavaliersdelikt – Kriminalität (?!)
(ein paar) Begriffe III
Virus – Schadsomware • Viren haben ihren Ursprung im „Game of Life“ – kleine Programme sollten den vorhandenen Hauptspeicher voll-‐ und ihre Konkurrenten über-‐schreiben
• Viren waren in den 1990ern eher ein Streich und haben ihre Wirtssysteme gelöscht
• seit 2005 (?) sind Viren als Trojaner eine Industrie
(ein paar) Begriffe IV
Trojaner – Schadsomware Trojaner befallen Rechner und nutzen ihre Wirtssysteme • um Daten auszuspionieren – Kontonummern, TANs – Passwörter, e-‐mail Adressen
• Botnetze (RoBOTer Netze) zu bilden – SPAM-‐ACacken – DDOS-‐Angriffe – Phishing-‐ACacken
(ein paar) Begriffe Forts.
Firewall – Feuermauer zum Internet • schließt nicht benöOgte Ports • schützt damit vor Angriffen (bedingt) Achtung: • nur Profis wissen, welche Ports wirklich nicht benöOgt werden (Skype, Youtube, …)
Arten: • Netzfirewalls am Router • Personal Firewalls am Endgerät
(ein paar) Begriffe Forts.
Würmer – Viren ohne Wirtsbedarf SPAM – unverlangte e-‐mail DOS – Denial of Service DDOS – Distributed Denial of Service Puffer-‐Überlauf – Programmfehler, genutzt für Exploit – Ausnutzen einer Schwachstelle für Code-‐InjecOon – einschleusen von Schadsomware zu Privilege EscalaOon – Erhöhung der Nutzer-‐Rechte Zero Day Exploit – öffentlich unbekannt!
(ein paar) Begriffe letzte!
Social Engineering – Andere dazu bringen das zu tun was ich will • Geheimnisse verraten • Trojaner installieren • Phishing – Password+Fishing • Mehrwertnummern anrufen • Mehrwert-‐SMS beantworten • Mobiltelefonviren öffnen
Gegenmaßnahmen I
• Firewall am Endgerät akOvieren • verfügbare (Hersteller-‐) Updates einspielen • Virenscanner installieren – kostenpflichOg: McAfee, Kaspersky, Norton, … – kostenfrei: Avast, Avira, …
• keine unbekannte Somware installieren • keine unbekannten e-‐mail Anhänge öffnen • Vorsicht mit USB-‐SOcks • Vorsicht auf Web-‐Seiten • Vorsicht auf facebook – auch dort gibt es links zu Trojanern
Gegenmaßnahmen II
• WLans absichern – Namen nicht „broadcasten“ – MAC-‐Adressen beschränken – WPA2 verschlüsseln … wenn Sie unsicher sind, rufen Sie einen Profi
• Smartphones und Tablets absichern – iPhone: nicht möglich (angeblich sicher …) – Android: Virenscanner installieren
Gegenmaßnahmen III
• Social Engineering erkennen: – Phishing e-‐mails: Zugang wird gesperrt, wenn Sie nicht Ihre Nutzerkennung und Passwort eingeben
– Daten Downloads entpuppen sich als InstallaOonen – facebook-‐links versprechen sensaOonelles – GraOs-‐Downloads nur nach InstallaOon von Somware
– Registrierung nur mit Rechnungsadresse – Kreditkarten Daten auf ungesicherten Seiten (hCp:) – Kreditkarten Daten auf unbekannten gesicherten Seiten (hCps:) …
Restrisiko
• Internet Router der Provider: sind om haarsträubend fehlerham program-‐miert; ein Austausch wird aus wirtschamlichen Gründen om nicht durchgeführt auch nachdem die Schwachstellen öffentlich werden!
• Smartphones ohne Virenscanner • Zero-‐Day Exploits • der Virenscanner Somware noch unbekannte Viren
Verantwortung
Letztlich ist jede Sicherheitsmaßnahme mit ausreichend krimineller Energie zu knacken! Die Einhaltung von Best-‐PracOses schützt uns aber im Ernsvall! Auch andere LebenssituaOonen sind nicht risikofrei! Hundehalter mit • Hundeschulbesuch, • Leine und • Beißkorb gehen aber ein bedeutend geringeres Risiko ein, falls trotz allem doch etwas passiert!
e-business
e-business
IBM haCe den Begriff in den 1990er Jahren durch Werbekampagnen populär gemacht und dort die Schreibweise „eBusiness“ benutzt. IBM definiert den Begriff als „Neugestaltung strategischer Unternehmensprozesse und die BewälOgung der Herausforderungen eines neuen Marktes, der sich zunehmend durch Globalisierung auszeichnet und auf Wissen basiert.“ Seite „E-‐Business“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 29. Dezember 2012, 08:09 UTC. URL: hCp://de.wikipedia.org/w/index.php?Otle=E-‐Business&oldid=112205485 (Abgerufen: 3. Januar 2013, 21:41 UTC)
e-business
e-‐business ist heute letztlich alles: • e-‐banking • e-‐logisOk • e-‐Kleinanzeigen • e-‐…
Elektronische TransakOonsunterstützung hat alle Bereiche der Gesellscham, ProdukOon und Dienstleistung durchdrungen und ist nicht mehr wegzudenken
e-business
e-‐business muss „sicher“ sein: • fälschungssicher • missbrauchsgeschützt • verschlüsselt
Basis Technologie: • SSL-‐Verschlüsselung (Secure Socket Layer) • relaOv sichere Verschlüsselung (Stand 2013) • Basis auch für hCps im Internet
SSL Verschlüsselung
• derzeit „State of the Art“ • zwischen zwei Endpunkten nicht, bzw. nur mit erheblichem Aufwand zu knacken.
Gefahren: • Trojaner spionieren am Kundenendgerät • Daten werden vom entschlüsselnden Server gestohlen
• Social Engineering
SSL Verschlüsselung
nicht sicher (nicht nur) in öffentlichen WLans, wenn der login, aber nicht die weitere KommunikaOon verschlüsselt ist • login über hCps • Rest über hCp (session cookie hijacking) hCp://www.youtube.com/watch?v=O3NAM8oG1WM
e-banking
• Verfügernummer • Passwort • PIN
• TAN – in letzter Zeit UmsOeg von TAN-‐Listen auf – SMS-‐TAN
à deutlich erhöhte Sicherheit!
e-health
Sehr interessantes Konzept und vielversprechender Ansatz: • PaOentendaten unabhängig von Ansprechbarkeit verfügbar
• Vermeidung doppelter Diagnoseaufwände • lückenlose Anamnese • dokumenOerte Vorgeschichte
Fragestellung – Sicherheit vor Missbrauch?
Datensammlung als Problem
generell sind große Datensammlungen ein Problem: • eine Kreditkartennummer mühsam zu klauen • viele Kreditkartennummern auch, aber mehr wert
Das gilt ebenso für Gesundheitsdaten o. ä. Beispielsfall schlecht gesicherte Server der GIS
e-Betrug
• Vorsicht bei: – Mehrwert SMS – unbeantwortete Anrufe von 0900-‐Nummern – Somware, die per SMS oder Bluetooth kommt vermeiden!
– Internet Abzocke: Im Internet ist wirkich alles graOs, wenn Sie eine Rechnungsadresse eingeben müssen, lassen Sie es bleiben!
• Im Novall (Rechnung kommt): www.ombudsmann.at
e-commerce
Einkaufen im Internet
De iure ist alles geregelt: • EU-‐Fernabsatzrichtlinie • NaOonalstaatliche Umsetzungen De facto ist es komplizierter: • Kleinunternehmer • grenzüberschreitende Portokosten • Risiko der GraOs Rücksendung • Transportdienste überwälzen Risiko für Bruch und Verpackung
EU Fernabsatz-Richtlinie
• Umfassende InformaOon rechtzeiOg vor Abschluss des Vertrages; • BestäOgung dieser InformaOonen auf einem dauerhamen Datenträger
(schrimlich o.ä.); • Widerrufsrecht des Verbrauchers innerhalb einer Frist von sieben Werktagen;
• Erfüllung des Vertrages binnen 30 Tagen ab dem Tag der Bestellung durch den
Verbraucher; • Schutz vor betrügerischer Verwendung der Zahlungskarte des Verbrauchers;
• Schutz vor unbestellten Waren oder Dienstleistungen; • Verbraucher können die ihnen durch diese Richtlinie garanOerten Rechte nicht
vertraglich ausschließen oder auf sie verzichten.
Quelle: hCp://ec.europa.eu/consumers/cons_int/safe_shop/dist_sell/index_de.htm
in AT – §5 KSchG
§ 5a. (1) Die §§ 5c bis 5i gelten für Verträge, die unter ausschließlicher Verwendung eines oder mehrerer FernkommunikaOonsmiCel geschlossen werden […] § 5e. (1) Der Verbraucher kann von einem im Fernabsatz geschlossenen Vertrag oder einer im Fernabsatz abgegebenen Vertragserklärung bis zum Ablauf der in Abs. 2 und 3 genannten Fristen zurücktreten. Es genügt, wenn die RücktriCserklärung innerhalb der Frist abgesendet wird. (2) Die RücktriCsfrist beträgt sieben Werktage, wobei der Samstag nicht als Werktag zählt. Sie beginnt bei Verträgen über die Lieferung von Waren mit dem Tag ihres Eingangs beim Verbraucher, bei Verträgen über die Erbringung von Dienstleistungen mit dem Tag des Vertragsabschlusses. § 5g (2) An Kosten dürfen dem Verbraucher nur die unmiCelbaren Kosten der Rücksendung auferlegt werden, sofern die Parteien dies vereinbart haben. Quelle: hCp://www.internet4jurists.at/gesetze/bg_fernabsatz01.htm
Einkaufen im Internet
posiOve Auswirkungen: • weltweiter Marktplatz • internaOonales Angebot • weltweiter Preisvergleich • auch seltene Gegenstände leicht bescha�ar • weltweiter Flohmarkt • „vergriffen“ gibt’s nicht mehr • „long tail“
Einkaufen im Internet
negaOve Auswirkungen: • unerfahrene Verkäufer • schlechte Verpackung • Betrüger • ebay verrufen als „größte Hehlerpla�orm der Welt“
• Risiko Kreditkartendaten aus der Hand zu geben
Einkaufen im Internet
Rahmenbedingungen: • Rücksendekosten in den Kaufpreis einrechnen • Besser lokal einkaufen, wenn der Preisvorteil klein ist
• Beratung ist kaum noch zu bekommen, weil die Margen dafür nicht vorhanden sind
• Beratung honorieren durch Einkauf beim Beratenden
Einkaufen im Internet
Best pracOses I: • persönlich abholen und bezahlen • große Marktplätze mit Bewertungssystemen nutzen – amazon – ebay
• Bezahlkonzentratoren nutzen – amazon Marketplace – paypal
Einkaufen im Internet
Fragen und Antworten zur Praxis: • • • • • • •
Ende „offizieller Teil“
weitere offene Fragen und Antworten: • • • • • • •