IT-Sicherheit, E-Business und E-Commerce

Michael Moser, MSc

    Vorbemerkung

ACHTUNG  –  DEnglisch  

Viele  Begriffe    sind  schlecht  zu  übersetzen  

und  haben  sich  daher    DEnglisch  durchgesetzt    

–  im  Zweifelsfall  biCe  nachfragen!  

   

IT-Sicherheit

    IT-Sicherheit Grundlegendes

TCP/IP  wurde  in  den  1970ern  nicht  für  Sicherheit  designed,  sondern  für  schwachbrüsOge  Prozessoren  und  Durchsatz!  TCP/IP  =  Transmission  Control  Protocol  /  Internet  Protocol  Jedes  Endgerät  hat  65.535  Ports  =  „Türen“,  die  von  unterschiedlichen  Übertragungsprotokollen  genutzt  werden  können,  das  sind  65.535  mögliche  –  von  Außen  (!)  erreichbare  Schwachstellen  in  jedem  Gerät!  

    IT-Sicherheit Grundlegendes

jedes  Gerät  heißt:    PCs,  Nintendos,  iPods  und  Pads,  Smartphones,  Router,  Kabelmodems,  WLans  …  …  aber  auch  DVD-­‐Player,  Fernseher,  Spielkonsolen,  demnächst  Eiskästen  …    Fazit:  Es  gibt  keine  sichere  IT-­‐InstallaOon!    

    (ein paar) Begriffe I

Hacker  –  Bastler  –  die  Guten  •  Hacks  „erfinden“  FunkOonen,  für  die  das  ursprüngliche  Ding  nicht  gedacht  war  

•  Beispiele:    – Gummiringe  um  Messergriffe  – Zeitungspapier  staC  Rehleder  zum  Fensterputzen  –  Laufmasche  mit  UHU  stoppen  

•  Abgrenzung  zwischen  Hacks  und  Cracks  ist  die  Absicht,  die  dahintersteht  

    (ein paar) Begriffe II

Cracker  –  Knacker  –  die  Bösen  wie  in  Panzer-­‐Kn.  •  Cracks  „missbrauchen“  Dinge  für  letztlich  gefährliche  FunkOonen  

•  Beispiele:    –  Sicherungen  durch  Nägel  ersetzen  –  Stromzähler  umgehen  –  Leistung  von  Autos  erhöhen  ohne  Eintragung  

•  Abgrenzung  Streich  –  Kavaliersdelikt  –  Kriminalität  (?!)  

    (ein paar) Begriffe III

Virus  –  Schadsomware  •  Viren  haben  ihren  Ursprung  im  „Game  of  Life“  –  kleine  Programme  sollten  den  vorhandenen  Hauptspeicher  voll-­‐  und  ihre  Konkurrenten  über-­‐schreiben  

•  Viren  waren  in  den  1990ern  eher  ein  Streich  und  haben  ihre  Wirtssysteme  gelöscht  

•  seit  2005  (?)  sind  Viren  als  Trojaner  eine  Industrie  

    (ein paar) Begriffe IV

Trojaner  –  Schadsomware  Trojaner  befallen  Rechner  und  nutzen  ihre  Wirtssysteme    •  um  Daten  auszuspionieren  –  Kontonummern,  TANs  –  Passwörter,  e-­‐mail  Adressen  

•  Botnetze  (RoBOTer  Netze)  zu  bilden  –  SPAM-­‐ACacken  –  DDOS-­‐Angriffe  –  Phishing-­‐ACacken  

    (ein paar) Begriffe Forts.

Firewall  –  Feuermauer  zum  Internet  •  schließt  nicht  benöOgte  Ports  •  schützt  damit  vor  Angriffen  (bedingt)  Achtung:  •  nur  Profis  wissen,  welche  Ports  wirklich  nicht  benöOgt  werden  (Skype,  Youtube,  …)  

Arten:  •  Netzfirewalls  am  Router  •  Personal  Firewalls  am  Endgerät  

    (ein paar) Begriffe Forts.

Würmer  –  Viren  ohne  Wirtsbedarf  SPAM  –  unverlangte  e-­‐mail  DOS  –  Denial  of  Service  DDOS  –  Distributed  Denial  of  Service  Puffer-­‐Überlauf  –  Programmfehler,  genutzt  für  Exploit  –  Ausnutzen  einer  Schwachstelle  für  Code-­‐InjecOon  –  einschleusen  von  Schadsomware  zu  Privilege  EscalaOon  –  Erhöhung  der  Nutzer-­‐Rechte  Zero  Day  Exploit  –  öffentlich  unbekannt!  

    (ein paar) Begriffe letzte!

Social  Engineering  –    Andere  dazu  bringen  das  zu  tun  was  ich  will  •  Geheimnisse  verraten  •  Trojaner  installieren  •  Phishing  –  Password+Fishing  •  Mehrwertnummern  anrufen  •  Mehrwert-­‐SMS  beantworten  •  Mobiltelefonviren  öffnen  

    Gegenmaßnahmen I

•  Firewall  am  Endgerät  akOvieren  •  verfügbare  (Hersteller-­‐)  Updates  einspielen  •  Virenscanner  installieren  –  kostenpflichOg:  McAfee,  Kaspersky,  Norton,  …  –  kostenfrei:  Avast,  Avira,  …  

•  keine  unbekannte  Somware  installieren  •  keine  unbekannten  e-­‐mail  Anhänge  öffnen  •  Vorsicht  mit  USB-­‐SOcks  •  Vorsicht  auf  Web-­‐Seiten  •  Vorsicht  auf  facebook  –  auch  dort  gibt  es  links  zu  Trojanern  

    Gegenmaßnahmen II

•  WLans  absichern  – Namen  nicht  „broadcasten“  – MAC-­‐Adressen  beschränken  – WPA2  verschlüsseln  …  wenn  Sie  unsicher  sind,  rufen  Sie  einen  Profi  

•  Smartphones  und  Tablets  absichern  –  iPhone:  nicht  möglich  (angeblich  sicher  …)  – Android:  Virenscanner  installieren  

    Gegenmaßnahmen III

•  Social  Engineering  erkennen:  – Phishing  e-­‐mails:  Zugang  wird  gesperrt,  wenn  Sie  nicht  Ihre  Nutzerkennung  und  Passwort  eingeben  

– Daten  Downloads  entpuppen  sich  als  InstallaOonen  –  facebook-­‐links  versprechen  sensaOonelles  – GraOs-­‐Downloads  nur  nach  InstallaOon  von  Somware  

– Registrierung  nur  mit  Rechnungsadresse  – Kreditkarten  Daten  auf  ungesicherten  Seiten  (hCp:)  – Kreditkarten  Daten  auf  unbekannten  gesicherten  Seiten  (hCps:)  …  

    Restrisiko

•  Internet  Router  der  Provider:  sind  om  haarsträubend  fehlerham  program-­‐miert;  ein  Austausch  wird  aus  wirtschamlichen  Gründen  om  nicht  durchgeführt  auch  nachdem  die  Schwachstellen  öffentlich  werden!  

•  Smartphones  ohne  Virenscanner  •  Zero-­‐Day  Exploits  •  der  Virenscanner  Somware  noch  unbekannte  Viren  

    Verantwortung

Letztlich  ist  jede  Sicherheitsmaßnahme  mit  ausreichend  krimineller  Energie  zu  knacken!  Die  Einhaltung  von  Best-­‐PracOses  schützt  uns  aber  im  Ernsvall!  Auch  andere  LebenssituaOonen  sind  nicht  risikofrei!  Hundehalter  mit  •  Hundeschulbesuch,  •  Leine  und  •  Beißkorb  gehen  aber  ein  bedeutend  geringeres  Risiko  ein,  falls  trotz  allem  doch  etwas  passiert!  

   

e-business

    e-business

IBM  haCe  den  Begriff  in  den  1990er  Jahren  durch  Werbekampagnen  populär  gemacht  und  dort  die  Schreibweise  „eBusiness“  benutzt.  IBM  definiert  den  Begriff  als  „Neugestaltung  strategischer  Unternehmensprozesse  und  die  BewälOgung  der  Herausforderungen  eines  neuen  Marktes,  der  sich  zunehmend  durch  Globalisierung  auszeichnet  und  auf  Wissen  basiert.“    Seite  „E-­‐Business“.  In:  Wikipedia,  Die  freie  Enzyklopädie.  Bearbeitungsstand:  29.  Dezember  2012,  08:09  UTC.  URL:  hCp://de.wikipedia.org/w/index.php?Otle=E-­‐Business&oldid=112205485  (Abgerufen:  3.  Januar  2013,  21:41  UTC)  

    e-business

e-­‐business  ist  heute  letztlich  alles:  •  e-­‐banking  •  e-­‐logisOk  •  e-­‐Kleinanzeigen  •  e-­‐…  

Elektronische  TransakOonsunterstützung  hat  alle  Bereiche  der  Gesellscham,  ProdukOon  und  Dienstleistung  durchdrungen  und  ist  nicht  mehr  wegzudenken  

    e-business

e-­‐business  muss  „sicher“  sein:  •  fälschungssicher  •  missbrauchsgeschützt  •  verschlüsselt  

Basis  Technologie:  •  SSL-­‐Verschlüsselung  (Secure  Socket  Layer)  •  relaOv  sichere  Verschlüsselung  (Stand  2013)  •  Basis  auch  für  hCps  im  Internet  

    SSL Verschlüsselung

•  derzeit  „State  of  the  Art“  •  zwischen  zwei  Endpunkten  nicht,  bzw.  nur  mit  erheblichem  Aufwand  zu  knacken.  

Gefahren:  •  Trojaner  spionieren  am  Kundenendgerät  •  Daten  werden  vom  entschlüsselnden  Server  gestohlen  

•  Social  Engineering  

    SSL Verschlüsselung

nicht  sicher  (nicht  nur)  in  öffentlichen  WLans,  wenn  der  login,  aber  nicht  die  weitere  KommunikaOon  verschlüsselt  ist  •  login  über  hCps  •  Rest  über  hCp  (session  cookie  hijacking)    hCp://www.youtube.com/watch?v=O3NAM8oG1WM  

    e-banking

•  Verfügernummer  •  Passwort  •  PIN  

•  TAN  –  in  letzter  Zeit  UmsOeg  von  TAN-­‐Listen  auf  –  SMS-­‐TAN  

à  deutlich  erhöhte  Sicherheit!  

    e-health

Sehr  interessantes  Konzept  und  vielversprechender  Ansatz:  •  PaOentendaten  unabhängig  von  Ansprechbarkeit  verfügbar  

•  Vermeidung  doppelter  Diagnoseaufwände  •  lückenlose  Anamnese  •  dokumenOerte  Vorgeschichte  

Fragestellung  –  Sicherheit  vor  Missbrauch?  

    Datensammlung als Problem

generell  sind  große  Datensammlungen  ein  Problem:  •  eine  Kreditkartennummer  mühsam  zu  klauen  •  viele  Kreditkartennummern  auch,  aber  mehr  wert  

 Das  gilt  ebenso  für  Gesundheitsdaten  o.  ä.    Beispielsfall  schlecht  gesicherte  Server  der  GIS  

    e-Betrug

•  Vorsicht  bei:  – Mehrwert  SMS  – unbeantwortete  Anrufe  von  0900-­‐Nummern  –  Somware,  die  per  SMS  oder  Bluetooth  kommt  vermeiden!  

–  Internet  Abzocke:  Im  Internet  ist  wirkich  alles  graOs,  wenn  Sie  eine  Rechnungsadresse  eingeben  müssen,  lassen  Sie  es  bleiben!  

•  Im  Novall  (Rechnung  kommt):  www.ombudsmann.at  

   

e-commerce

    Einkaufen im Internet

De  iure  ist  alles  geregelt:  •  EU-­‐Fernabsatzrichtlinie  •  NaOonalstaatliche  Umsetzungen  De  facto  ist  es  komplizierter:  •  Kleinunternehmer  •  grenzüberschreitende  Portokosten  •  Risiko  der  GraOs  Rücksendung  •  Transportdienste  überwälzen  Risiko  für  Bruch  und  Verpackung  

    EU Fernabsatz-Richtlinie

•  Umfassende  InformaOon  rechtzeiOg  vor  Abschluss  des  Vertrages;  •  BestäOgung  dieser  InformaOonen  auf  einem  dauerhamen  Datenträger  

(schrimlich  o.ä.);    •  Widerrufsrecht  des  Verbrauchers  innerhalb  einer  Frist  von  sieben  Werktagen;

   •  Erfüllung  des  Vertrages  binnen  30  Tagen  ab  dem  Tag  der  Bestellung  durch  den  

Verbraucher;    •  Schutz  vor  betrügerischer  Verwendung  der  Zahlungskarte  des  Verbrauchers;

   •  Schutz  vor  unbestellten  Waren  oder  Dienstleistungen;    •  Verbraucher  können  die  ihnen  durch  diese  Richtlinie  garanOerten  Rechte  nicht  

vertraglich  ausschließen  oder  auf  sie  verzichten.  

Quelle:  hCp://ec.europa.eu/consumers/cons_int/safe_shop/dist_sell/index_de.htm  

    in AT – §5 KSchG

§  5a.  (1)  Die  §§  5c  bis  5i  gelten  für  Verträge,  die  unter  ausschließlicher  Verwendung  eines  oder  mehrerer  FernkommunikaOonsmiCel  geschlossen  werden  […]  §  5e.  (1)  Der  Verbraucher  kann  von  einem  im  Fernabsatz  geschlossenen  Vertrag  oder  einer  im  Fernabsatz  abgegebenen  Vertragserklärung  bis  zum  Ablauf  der  in  Abs.  2  und  3  genannten  Fristen  zurücktreten.  Es  genügt,  wenn  die  RücktriCserklärung  innerhalb  der  Frist  abgesendet  wird.  (2)  Die  RücktriCsfrist  beträgt  sieben  Werktage,  wobei  der  Samstag  nicht  als  Werktag  zählt.  Sie  beginnt  bei  Verträgen  über  die  Lieferung  von  Waren  mit  dem  Tag  ihres  Eingangs  beim  Verbraucher,  bei  Verträgen  über  die  Erbringung  von  Dienstleistungen  mit  dem  Tag  des  Vertragsabschlusses.  §  5g  (2)  An  Kosten  dürfen  dem  Verbraucher  nur  die  unmiCelbaren  Kosten  der  Rücksendung  auferlegt  werden,  sofern  die  Parteien  dies  vereinbart  haben.    Quelle:  hCp://www.internet4jurists.at/gesetze/bg_fernabsatz01.htm  

    Einkaufen im Internet

posiOve  Auswirkungen:  •  weltweiter  Marktplatz  •  internaOonales  Angebot  •  weltweiter  Preisvergleich  •  auch  seltene  Gegenstände  leicht  bescha�ar  •  weltweiter  Flohmarkt  •  „vergriffen“  gibt’s  nicht  mehr  •  „long  tail“  

    Einkaufen im Internet

negaOve  Auswirkungen:  •  unerfahrene  Verkäufer  •  schlechte  Verpackung  •  Betrüger  •  ebay  verrufen  als  „größte  Hehlerpla�orm  der  Welt“  

•  Risiko  Kreditkartendaten  aus  der  Hand  zu  geben  

    Einkaufen im Internet

Rahmenbedingungen:  •  Rücksendekosten  in  den  Kaufpreis  einrechnen  •  Besser  lokal  einkaufen,  wenn  der  Preisvorteil  klein  ist  

•  Beratung  ist  kaum  noch  zu  bekommen,  weil  die  Margen  dafür  nicht  vorhanden  sind  

•  Beratung  honorieren  durch  Einkauf  beim  Beratenden  

    Einkaufen im Internet

Best  pracOses  I:  •  persönlich  abholen  und  bezahlen  •  große  Marktplätze  mit  Bewertungssystemen  nutzen  – amazon  – ebay  

•  Bezahlkonzentratoren  nutzen  – amazon  Marketplace  – paypal  

    Einkaufen im Internet

Fragen  und  Antworten  zur  Praxis:  •     •     •     •     •     •     •     

    Ende „offizieller Teil“

weitere  offene  Fragen  und  Antworten:  •     •     •     •     •     •     •