Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Private Netzwerke

Inhaltsverzeichnis

1. Einleitung

2. Begriffserklärung und Funktionsweise von VPN’s

3. Technologien
3.1. Layer-2-VPN’s
3.1.1. Frame Relay
3.1.2. ATM (Asynchronous Transfer Mode)
3.1.3. ISDN (Integrated Service Digital Network)
3.2. Internet

4. Sicherheit
4.1. Sicherheitsrisiken
4.2. Sicherheitskonzepte
4.2.1. Firewalls
4.2.2. Tunneling
4.2.2.1. Tunneling-Protokolle
4.2.3. Verschlüsselung
4.2.3.1. Schlüsselmanagement
4.2.4. Authentifizierung

5. Authentifizierungswerkzeuge
5.1. Wissen (Was weißt du?)
5.1.1. Passwörter
5.1.2. Einmal-Passwörter
5.1.2.1. Einmal-Verschlüsselung
5.1.3. Zeitabhängige Passwörter
5.2. Besitz (Was hast du?)
5.2.1. Rufnummernprüfung und Callback
5.2.2. Magnetkarten
5.2.2.1. Sicherheitsrisiken
5.2.3. Chipkarten
5.2.3.1. Speicherchipkarten
5.2.3.2. Intelligente Speicherchipkarten
5.2.3.3. Prozessorchipkarten (Smart-Cards)
5.2.3.4. Superchipkarten
5.2.4. Digitale Unterschriften
5.2.5. Digitale Briefumschläge
5.2.6. Digitale Zertifikate
5.2.7. Tokens
5.3. Eigenschaften (Wer bist du?)
5.3.1. Fingerabdruck-Erkennung
5.3.2. Hand-Erkennung
5.3.3. Iris-/Regenbogenhaut-Erkennung
5.3.4. Retina-/Netzhaut-Erkennung
5.3.5. Gesicht-Erkennung
5.3.6. Haut-Erkennung
5.3.7. Handschrift-/Unterschrift-Erkennung
5.3.8. Sprach-Erkennung
5.3.9. Vor- und Nachteile biometrischer Verfahren:

6. Schlussbetrachtung

7. Glossar

8. Literaturverzeichnis

9. Anhang
- Anbieter von Authentifizierungswerkzeugen
- notwendige Daten für die Online-Beantragung von digitalen Zertifikaten bei der Firma TeleSec
- Artikel über Fingerabdruck-Sensoren auf mobilen Geräten der Fa. ALPS
- Datenblatt des Handerkennungssystems Vascular VP-II® der Fa. Identica
- Algorithmus des Gesichterkennungssystems FaceVACS der Fa. Cognitec Systems
- Datenblatt des dreidimensionalen Gesichterkennungssystems Tridentity der Fa. Neurodynamics
- Datenblatt des auf der CeBIT 2004 vorgestellten dreidimensionalen Gesichterkennungssystems Fiore der Fa. NEC

Abbildungsverzeichnis

Abbildung 1: Grundsätzlicher Aufbau einer VPN-Anbindung

Abbildung 2: Frame-Relay-VPN mit permanenten virtuellen Verbindungen

Abbildung 3: Übertragung verschiedener Arten des Datenverkehrs auf Basis von ATM

Abbildung 4: Kapselung und Transport von Netzwerkpaketen

Abbildung 5: symmetrische Datenübertragung mit gleichen Schlüsseln

Abbildung 6: asymmetrische Datenübertragung mit unterschiedlichen Schlüsseln

Abbildung 7: Abmessungen für Identifikationskarten aus Kunststoff nach ISO 7810

Abbildung 8: CVC2- bzw. CVV2-Nummer auf Kreditkarten

Abbildung 9: Kontaktflächenbelegung der externen Ein-/Ausgabeschnittstelle eines Karten-Chips nach ISO 7816-2

Abbildung 10: Chipkarten-Authentifizierung mit symm. Verschlüsselungsverfahren

Abbildung 11: Beispiel für den inneren Aufbau einer Superchipkarte

Abbildung 12: Übermittlung einer signierten Nachricht

Abbildung 13: Digitale Signatur mit Anwendung einer Hash-Funktion

Abbildung 14: Zertifizierungsablauf mit digitalen Zertifikaten einer CA

Abbildung 15: Standard-Format für digitale Zertifikate nach ITU-X.509

Abbildung 16: Authentifizierungsablauf mit einer Token-Karte

Abbildung 17: zeitabhängige hardwarebasierende Tokens der Firma RSA Security

Abbildung 18: Charakteristische Merkmale (Minutien) eines Fingerabdruckes

Abbildung 19: Smart-Card und ID-Mouse mit integriertem Fingertipp-Sensor der Firma Siemens

Abbildung 20: USB-Stick mit Fingertipp-Sensor der Firma Navi

Abbildung 21: Hand-Erkennungs-Gerät HandPunch der Firma IR Recognition Systems

Abbildung 22: Personenidentifizierung durch FaceFINDER®

Abbildung 23: dreidimensionale Gesicht-Erkennung

1. Einleitung

Sichere Netzwerke waren bis vor einigen Jahren nur für große Unternehmen erschwinglich, da Verbindungen über mehrere Standorte hinweg immer auf teuren Standleitungen beruhten. Bei bundesweit verteilten Filialen führte dies aufgrund der zu hohen Gebühren oftmals zur Unwirtschaftlichkeit. Weiterhin war für mobile Mitarbeiter der Zugang zu privaten Firmennetzen problematisch, da diese mittels Modem über das Telefonnetz mit dem Unternehmen kommunizieren mussten und dafür meist teure Ferngespräche erforderlich waren. Vor allem kleineren Organisationen blieb deshalb die standortübergreifende Verbindung meist vorbehalten. Alternativ konnte man sich nur auf das unsichere öffentliche Internet stützen.

Aus diesen Gründen betrieben Unternehmen anfangs ihre Netzwerke oftmals völlig unabhängig voneinander mit individuellen Eigenschaften und Anwendungen, so dass für jede Filiale ein eigenes Netz existierte, das mit anderen Filial-Netzen nicht unbedingt kompatibel war und somit keine netzübergreifende Kommunikation ermöglicht wurde. In der heutigen Zeit ist dies durch die zunehmende Umstellung der Prozesse auf die elektronische Datenverarbeitung allerdings wirtschaftlich nicht mehr tragbar. Immer öfter sind deshalb Unternehmen gezwungen, auf Verbindungen außerhalb ihres privaten lokalen Firmennetzes (LAN) zuzugreifen, um etwa mit externen Firmennetzen, Kooperationspartnern oder mobilen Mitarbeitern kommunizieren zu können. So ziehen Unternehmensnetze mittlerweile immer größere Kreise durch Integration kleinerer Außenbüros, mobiler Mitarbeiter, Telearbeiter, usw. Der Einschluss in die Firmen-Kommunikation von “außerhalb“ verfolgt das Ziel, alle Anwender oder auch Kunden mittels Remote Access an den Ressourcen und Kommunikations-möglichkeiten des Unternehmens teilhaben zu lassen. Dies ermöglicht einem Unternehmen neben der Steigerung ihrer Flexibilität auch die Erhöhung der Effizienz und macht moderne Netzwerke somit zur entscheidenden Infrastruktur für Wettbewerbsfähigkeit und Produktivität. Denn um nur einen von vielen Gründen zu nennen, ist es durchaus wirtschaftlich notwendig, dass ein Lagerverwalter seinen Produktionsbestand nicht nur ständig aktualisieren kann, sondern dies auch von der Vertriebsabteilung ersichtlich ist, um die verfügbare Menge bei Geschäftsprozessen berücksichtigen zu können.

Es stellt sich nun die Frage, mit welchen Technologien und Mitteln sich eine Anbindung über das interne Firmennetz hinaus sicher und zugleich preisgünstig realisieren lässt.

Die Lösung steckt in Virtual Private Networks (VPN’s), durch deren Technologien sichere Verbindungen über öffentliche Netze mittels sog. “Tunneln“ gewährleistet werden.

Die bisherige Definition von Netzwerken unterschied allerdings nur zwischen öffentlichen und privaten Netzen. Während öffentliche Netze wie das Telefonnetz oder das Internet durch zahlreiche Teilnehmer geprägt sind, welche in keiner festen Beziehung zueinander stehen und mehr oder weniger ungehindert Informationen austauschen, besteht ein privates Netz dagegen nur aus Computern einer bestimmten Organisation, die in erster Linie untereinander kommunizieren. Bei einem privaten Netz können die Beteiligten sicher sein, dass ausschließlich sie das Netz benutzen und die ausgetauschten Informationen nur berechtigten Personen zugänglich sind. Im Gegensatz dazu besitzen Personen mit Zugang zu einem öffentlichen Netz nicht unbedingt gemeinsame Merkmale oder Interessen und die Kommunikation betrifft meist nur einen Bruchteil der Benutzer eines solchen Netzes. Ohne entsprechende Sicherheitsmaßnahmen können dabei jedoch auch unerwünschte Kommunikationsbeziehungen entstehen, wodurch sensible Daten in falsche Hände geraten können.

Um diese Lücke zu schließen und die Grenze zwischen öffentlichem und privatem (Firmen-)Netz zu verwischen, beschreibt diese Arbeit die Funktionsweise von Virtuellen Privaten Netzwerken (VPN’s) sowie die dafür notwendigen Authentifizierungsverfahren, die einen grundlegenden Aspekt zur sicheren Anbindung von außerhalb an ein privates Netz darstellen.

2. Begriffserklärung und Funktionsweise von VPN’s

Unter einem Virtuellen Privaten Netzwerk versteht man ein Verfahren, bei dem innerhalb eines öffentlichen Netzes wie dem Internet ein privates Netz simuliert wird.^[1] Somit kann sich beispielsweise der Außendienstmitarbeiter durch eine VPN-Anbindung über das Internet oder andere öffentliche Netze mit dem privaten internen Netz seiner Firma verbinden.

Der Begriff VPN enthält die wesentlichen Komponenten privat und virtuell, die ein solches Netzwerk charakterisieren und im entsprechenden Zusammenhang erläutert werden:

Mit privat wird die Abschottung eines Netzwerkes (gegen andere) mit geeigneten technischen Maßnahmen assoziiert. Aus diesem Grund können Kommunikationsverbindungen auf Basis von VPN’s gleichermaßen wie (eigene) exklusiv verwendete physikalische Leitungen bzw. Netzwerke genutzt werden. Auch in solchen virtuellen Netzwerken kann eine völlig unabhängige Netzwerk-Administration erfolgen.

Da die zugrunde liegende physikalische Infrastruktur in Wirklichkeit nicht exklusiv, sondern gemeinsam von vielen unterschiedlichen Verbindungen genutzt wird, sind die privaten Netzwerke somit nur virtuell vorhanden. Genauer gesagt handelt es sich um temporäre Verbindungen, die physikalisch nicht vorhanden sind und aus Paketen bestehen, die über verschiedene Rechner und Router in einem öffentlichen Netz ohne vorgegebene Route übertragen werden.

Virtuelle Verbindungen können zwischen zwei Rechnern, einem Rechner und einem Netzwerk sowie zwischen zwei Netzwerken hergestellt werden. Zur Sicherung dieser Verbindungen bedarf es allerdings Komponenten der Verschlüsselung, Authentifizierung, des Paket-Tunnelings und Firewalls.^[2] Diese Techniken werden im Abschnitt Sicherheit noch genauer erklärt.

Man kann sich eine VPN-Verbindung als einen abgeschotteten Tunnel durch ein öffentliches Netz vorstellen, der ein Firmennetz mit einer Außenstelle oder einem entfernten Arbeitsplatz verbindet. Die folgende Abbildung veranschaulicht den Aufbau einer VPN-Verbindung:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Grundsätzlicher Aufbau einer VPN-Anbindung

Um eine Verbindung mit dem Firmennetz aufbauen zu können, müssen sich die Clients mit einer speziellen Software am VPN-Server anmelden, die meist über eine Firewall-Funktionalität verfügt, um auch den Client vor Angriffen aus dem Internet zu schützen. Als Übergabepunkte bzw. VPN-Server können z. B. Geräte der Cisco VPN 3000 Concentrator Series eingesetzt werden. Aufgaben eines VPN-Servers oder Konzentrators von Cisco sind

- Verbindungsaufbau
- Benutzerauthentifizierung
- Konfiguration der Zugriffsbeschränkungen auf Layer3 (IP)
- Zuweisen einer Konfiguration anhand der Gruppenzugehörigkeit eines Benutzers
- Aufbau und Halten des (verschlüsselten) Tunnels

In der Konfiguration eines VPN-Servers können Regeln definiert werden, die den Zugriff auf die internen (Firmen-)Daten nach erfolgter Anmeldung einschränken, was entweder für jeden Benutzer einzeln oder gruppenweise geschieht. Die Anmeldung kann auch durch einen Router erfolgen, an dem wiederum mehrere externe Clients angeschlossen sind, die in diesem Fall keine eigene VPN-Verbindung mehr aufbauen müssen.^[3]

Man unterscheidet grundsätzlich drei verschiedene Implementierungen von VPN’s:

- Site to Site: Kopplung von Netzwerken

Dabei werden die VPN-Verbindungen über Router oder Firewalls aufgebaut, die VPN-fähig sind, z. B. zwischen einer Filiale und der Hauptgeschäftsstelle. Die Sicherung des Datenverkehrs findet nur zwischen diesen Geräten statt. Da keine einzelnen Rechner sondern nur ganze Netzwerke oder Segmente verbunden und authentifiziert werden, ist die Qualifikation einzelner Benutzer nur unzureichend oder gar nicht möglich. Diese Art der VPN-Verbindung wird auch mit der Bezeichnung Tunnel Mode assoziiert.

- End to Site: Kopplung von Client zu Netzwerk(en)

Diese Art der Kopplung ist auch unter dem Namen Remote-Access-VPN bekannt und dient dazu, entfernt arbeitenden Usern die Einwahl sowie den Aufbau einer gesicherten Verbindung zum Firmennetz zu ermöglichen. Die VPN-Verbindung besteht hierbei nur bis zum gesamten Netz, nicht aber zu einem speziellen Server.

- End to End: Kopplung von Endgerät zu Endgerät

Eine End-to-End-Verbindung hat den Vorteil, dass der gesamte Datenverkehr geschützt ist, da die Verbindung direkt von einem Endgerät bis zum anderen besteht, beispielsweise von einem Client zu einem bestimmten Server des Firmennetzes. Solche VPN-Verbindungen fallen unter den Begriff Transparent Mode und bieten durchaus zusätzlichen Schutz für wichtige Applikationen im LAN.^[4]

Mit Hilfe dieser Funktionalitäten kann der Netzwerkadministrator sicherstellen, dass nur Benutzer mit den richtigen unternehmensinternen Anmelde-informationen auf die geschützten Firmen- oder Abteilungsressourcen zugreifen können. Benutzern ohne geeignete Anmeldeinformationen bleibt das Firmen- oder Abteilungs-LAN verborgen. Darüber hinaus kann und sollte die gesamte Kommunikation über das VPN verschlüsselt werden, um die Vertraulichkeit der Daten sicherzustellen.^[5]

Da klassische VPN’s öffentliche Netze als Trägersystem und somit als WAN nutzen, werden nur kurze Standleitungen zwischen dem jeweiligen Firmenstandort und dem nächsten Einwahlknoten Point of Presence (PoP) des Internet Service Providers (ISP) benötigt. Dieses Verfahren stellt eine kostengünstige Alternative dar, die auch für kleinere Firmen erschwinglich wird, da durch die mittlerweile günstigen oder sogar gebührenfreien Wählzugänge ISP-Accounts für mobile Benutzer in jedem Fall wirtschaftlicher sind als ein Modem-Pool mit hohen Gebühren für Fernverbindungen.

Neben den reduzierten Kosten stellt bei virtuellen Netzen auch die Synergienutzung der physikalischen Netzwerkstruktur einen erheblichen Vorteil dar. Denn die verfügbare bzw. zugesicherte Bandbreite des eigenen Virtuellen Privaten Netzwerkes wird meist nicht voll ausgenutzt, so dass in entsprechenden Niederlastzeiten freie Ressourcen durch andere VPN’s genutzt werden können. Somit werden auf der vorhandenen Struktur insgesamt mehr Netze realisiert, als dies bei jeweils exklusiver Zuteilung physikalischer Ressourcen möglich wäre.

Auch kann mit einem Virtuellen Privaten Netzwerk die Reichweite des Intranets beliebig vergrößert werden. Zwar sollen die firmeninternen Informationen normalerweise nicht vom Internet aus zugreifbar sein, doch in manchen Fällen ist eine gemeinsame Nutzung mit (weit) verstreuten Filialen oder Benutzern durchaus sinnvoll. Diese Verbindungsart, die sich über mehrere Standorte erstreckt, ist auch unter dem Namen Extranet bekannt.

Ein VPN gewährleistet die sichere Verbindung zum Intranet, so dass vertrauliche Daten nicht ungeschützt das Netz verlassen. Dadurch können beispielsweise Außendienstmitarbeiter von unterwegs oder zu Hause arbeiten und auf den Server mit den notwendigen Daten zugreifen. Diese Informationen sollten jedoch nicht uneingeschränkt zugänglich sein, sondern durch Berechtigungen abgesichert werden. Die Vergabe von Berechtigungen und Anmeldedaten gehört neben der Verschlüsselung zu den Funktionalitäten von VPN’s und ermöglicht die Flexibilität dahingehend, dass nahezu jeder firmeninterne Netzdienst sicher über das Internet genutzt werden kann.^[6]

Aus Gründen der Flexibilität, Kosten und Sicherheit gewinnt diese Technik zunehmend an Beliebtheit und ist vor allem bei größeren Firmen immer häufiger zu finden.^[7]

3. Technologien

Virtuelle Private Netzwerke im weiteren Sinne gibt es schon seit einiger Zeit, nur wurden sie in der Vergangenheit vielfach unter dem Begriff Corporate Network zusammengefasst. Dabei handelt es sich um private Netze einzelner Unternehmen oder Kommunikationsgemeinschaften zur standortübergreifenden Übertragung der verschiedensten Datentypen. Netzbetreiber eines Corporate Networks bieten die Netzinfrastruktur als Dienstleistung auf Basis öffentlich zugänglicher Netze an. Unterhält der Betreiber selbst keine eigenen Übertragungswege, spricht man in diesem Fall von einem Virtual Private Network.^[8] Als Basis für VPN’s sind die Technologien Frame Relay, ATM und ISDN auf Layer 2 sowie das Internet auf Layer 3 verwendbar, welche im Anschluss erläutert werden.

3.1. Layer-2-VPN’s

„Ein Layer-2-VPN stellt ein „virtuelles Kabel“ über jede IP-Plattform dar.“^[9] Verfahren zur Realisierung von Layer-2-VPN’s basieren auf einer gemeinsam genutzten Netzwerk-Infrastruktur und ermöglichen Vermittlungen unterschiedlicher Kommunikationsbeziehungen mittels Layer-2-Dateneinheiten wie Frames oder Zellen. Ähnlich wie bei einem IP-Netzwerk werden auch in solchen Layer-2-Netzen die Dateneinheiten durch die aktiven Komponenten der Netz-Infrastruktur weitergeleitet.^[10]

Die Multiprotokollfähigkeit eines Layer-2-VPN ergibt sich aus der Verwendung des Point to Point Protocols (PPP), das für die Verbindung zwischen zwei Rechnern eingesetzt wird. Damit kann über ein öffentliches Netz auch mit Unternehmenszentralen kommuniziert werden, die andere Netzwerkprotokolle einsetzen.^[11] Nähere Erläuterungen darüber sind im Absatz 4.2.2 (Tunneling) zu finden.

VPN’s lassen sich durch die beiden Layer-2-Techniken Frame Relay und ATM realisieren:

3.1.1. Frame Relay

Hierbei handelt es sich um eine bereits länger im Einsatz befindliche Übertragungstechnologie auf Basis von Frames, die ursprünglich zum reinen Datentransport entwickelt wurde. Bei einem Frame handelt es sich um ein Paket variabler Länge, das neben den Nutzdaten noch zusätzliche Protokoll-informationen enthält. Frame Relay wird mittlerweile zunehmend für gemischte Sprach- und Datenübertragungen verwendet. Die Länge der Datenpakete kann zwischen 262 Bytes und 8 KBytes variieren. Der Frame Relay-Standard basiert auf dem X.25-Standard als ISDN-Datenübertragungsprotokoll, doch existieren zu diesem wesentliche Unterschiede. Frame Relay verzichtet im Vergleich zu X.25 auf die Fehlerkennungsmethode, was auf Kosten der Zuverlässigkeit geschieht. D. h. Fehler bei der Datenübertragung werden erst beim Empfänger erkannt, der verworfene Pakete erneut vom Sender anfordern muss. Dafür arbeitet diese Technik aber mit viel höheren Geschwindigkeiten, die teilweise bis zu 45 Mbit/s betragen. Da hierfür bereits eine hohe Leitungsqualität vorausgesetzt wird, sind im Gegensatz zum X.25-Protokoll weniger aufwendige und ressourcenintensive Mechanismen erforderlich.

Aus Sicht des Anwenders ist Frame Relay ein verbindungsorientiertes Protokoll. Es muss eine virtuelle Verbindung zwischen zwei Datenübertragungs-einrichtungen existieren, die entweder vom Provider konfiguriert und dauerhaft aktiviert oder erst bei anstehender Datenübertragung vom Kunden aufgebaut und auch wieder abgebaut wird. Die letzte Variante nennt man Switched Virtual Circuit (SVC) während bei einer dauerhaften Aktivierung der Verbindung von Permanent Virtual Circuit (PVC) gesprochen wird. Die Abbildung der virtuellen Verbindungen geschieht auf OSI-Schicht 2. Ein Frame-Relay VPN kann man anhand eines Beispiels mit permanenten virtuellen Verbindungen folgendermaßen abbilden:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Frame-Relay-VPN mit permanenten virtuellen Verbindungen^[12]

Da in Wirklichkeit keine physikalischen Ende-zu-Ende-Verbindungen bestehen, werden die Pfade als virtuell bezeichnet. Der tatsächliche Weg der Frames ist dynamisch, weshalb bei Überlasten oder Ausfällen alternative Routen gewählt werden. Für den Benutzer ist das nicht sichtbar, da es sich als Punkt-zu-Punkt-Verbindung darstellt.

Neben der hohen Geschwindigkeit können bei Frame Relay insbesondere verschiedene Dienstqualitäten wie garantierte und maximale Bandbreite zwischen Provider und Kunde vereinbart werden. Weiterhin besteht die Möglichkeit, in einer Verbindung zu einem Frame-Relay-Zugangsknoten gleichzeitig mehrere PVC’s mit unterschiedlichen Parametern für verschieden priorisierte Dienste zu konfigurieren. Aus technischer Sicht ist dieses Verfahren sehr gut zum Aufbau von VPN’s geeignet, was durch die große Verbreitung und dem nahezu weltweiten Angebot bestätigt wird. Allerdings ist wie bei allen paketorientierten Verfahren die Übertragungszeit der Daten nicht genau vorhersehbar, weshalb sich Frame Relay nicht besonders gut für die Übertragung zeitkritischer Daten wie Sprache oder Bild eignet. Die Verwendung liegt also vielmehr in stark schwankendem Datenverkehr als in konstanten Bandbreiten.^[13]

3.1.2. ATM (Asynchronous Transfer Mode)

Die ATM-Technologie beschreibt einen weltweiten Standard für die asynchrone zellenvermittelnde Übertragung verschiedenster Arten des Datenverkehrs mit einer grundsätzlich geringen Komplexität. Wird diese Technik jedoch für Kommunikationsströme benutzt, welche die vorgesehenen Aufgaben überschreiten, so steigt die Komplexität. Ein Beispiel für einen solchen Einsatz ist die Emulation von Ethernet- oder Token-Ring-Netzwerken. ATM-Netzwerke sind verbindungsorientiert und erlauben eine schnelle Datenübertragung. Viel wichtiger seien hierbei aber die möglichen abgestuften Dienstqualitäten sowie die gute Eignung zur Übertragung von isochronen Daten wie Sprache oder Video zu nennen.

Ziel dieser Entwicklung ist die Integration von öffentlichen und privaten Netzen durch eine gemeinsame Technik.

Im Gegensatz zum zuvor erläuterten Frame-Relay-Verfahren, bei dem die Daten in einem Frame übertragen werden, geschieht dies bei ATM durch Cell Switching, was in folgender Abbildung verdeutlicht wird:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3 : Übertragung verschiedener Arten des Datenverkehrs auf Basis von ATM^[14]

Dabei werden sehr kleine Zellen mit einer festen Länge von 53 Bytes übertragen, wodurch eine einfachere und schnellere Verarbeitung ermöglicht wird. Die Nutzdaten werden in 48 Byte große Zellen aufgeteilt und mit einem Header für Steuerdaten von 5 Bytes versehen, um in den ATM-Zellen mit 53 Bytes synchron übertragen werden zu können. Sofern keine Zellen aufgrund Überlastung verworfen wurden, findet auf der Empfängerseite die Paketzusammensetzung statt. Bei Sprach- oder Videodaten sind verworfene Zellen allerdings weniger problematisch, da durch die minimale Größe der ATM-Zellen akustische oder optische Störungen in der Regel für die menschliche Wahrnehmungsfähigkeit unbemerkt bleiben. Auch bei den meisten anderen Datentypen kann das Überlastverhalten durchaus noch als akzeptabel angesehen werden, da höhere Übertragungsprotokolle einfach das gesamte Paket erneut anfordern.

ATM bietet bei Bedarf hohe Bandbreiten ohne die typischen Redundanzen einer leitungsvermittelten Übertragung, so dass problemlos mehrere verschiedene Daten per Multiplexing über eine Verbindung transportiert werden können.^[15]

3.1.3. ISDN (Integrated Service Digital Network)

Hinter ISDN steckt ein integriertes weltweites Telefon- und Datennetz. Die Verabschiedung der Grundkonzeption ist auf das Comité Consultativ International Télégraphique et Téléphonique (CCITT) im Jahr 1984 zurückzuführen. Europaweit ist diese Technologie in 20 Ländern nach dem einheitlichen Standard Euro-ISDN eingeführt und weist folgende Merkmale auf:

- digitalisiertes Telefon- und Universalnetz
- wenige international genormte Schnittstellen
- Leitungsvermittlung
- Standardübertragungsrate von 64 kBit/s

Die Standardübertragungsrate errechnet sich aus dem Abstand der Sprachschwingungen von 1/8000 Sekunde (= 0,000125) und den 28 (= 256) unterschiedlichen Sprachfrequenzen. Daraus ergibt sich die Übertragungsrate von 8000 * 8 = 64.000 Bit/s.^[16]

Im Gegensatz zur Verwendung als öffentliches Telefonnetz kann dieses leitungsvermittelnde, digitale Multiservice-Netzwerk auch für geschlossene Nummernkreise verwendet werden, um damit ein VPN aufzubauen. Hierbei wird vom Telekommunikationsunternehmen eine Reihe von Telefonnummern für die Anschlüsse eines Kunden vergeben, mit denen nur untereinander kommuniziert werden kann. Verbindungen zu oder von Nummern außerhalb dieses Nummernkreises sind deshalb nicht möglich. Für das Unternehmen stellt sich der vergebene Nummernkreis wie ein privates abgeschlossenes Netz dar, doch in Wirklichkeit wird das öffentliche Netzwerk des Telekommunikationsproviders als Infrastruktur in Form von Leitungen und Vermittlungssystemen genutzt. Für die Kommunikation mit externen Nummern sind Schnittstellensysteme wie eine Nebenstellenanlage notwendig, die den Übergang zum öffentlichen Netzwerk bietet.^[17]

3.2. Internet

Die am weitesten verbreitete und immer mehr an Beliebtheit gewinnende Technologie stellen Internet-VPN’s dar, die auch als IP-VPN’s bezeichnet werden und das Internet als Trägersystem nutzen. Der grundlegende Unterschied zu Virtuellen Privaten Netzwerken auf Basis von Frame-Relay, ATM oder ISDN besteht darin, dass bei IP-VPN’s die Trägertechnologie auf Ebene 3 der OSI-Schichten (Netzwerkschicht) und nicht auf Ebene 2 liegt. Ein Layer-3-VPN ist immer von einem bestimmten Netzwerkprotokoll abhängig und aus diesem Grund nicht multiprotokollfähig. Daraus resultiert aber der große Vorteil einer Unabhängigkeit von physikalischen Infrastrukturen, da in einem IP-VPN die IP-Pakete zwischen zwei Endsystemen transportiert werden und diese während der Übertragung durchaus auch in Frame-Relay, ATM od. anderen Technologien eingekapselt werden können.^[18]

4. Sicherheit

Das Thema Sicherheit ist ein nicht zu unterschätzender Punkt, der besonders beim Aufbau von Virtuellen Privaten Netzen nicht vernachlässigt werden darf, da hierbei immer unsichere öffentliche Infrastrukturen als Trägersystem dienen. Im Folgenden wird anhand bestehender Risiken die Wichtigkeit des Aspektes Sicherheit verdeutlicht und die grundlegenden Möglichkeiten beschrieben, die zur sicheren Implementierung eines Virtuellen Privaten Netzwerks beitragen.

4.1. Sicherheitsrisiken

Bei der Verwendung von VPN-Mechanismen muss wie bereits erwähnt auf ein öffentliches Trägersystem zurückgegriffen werden. Da dieses öffentliche Netz nicht exklusiv sondern mit anderen gemeinsam genutzt wird, hat dies Risiken in Form von Datenmanipulation, -raub usw. zur Folge, die durch geeignete Maßnahmen eingeschränkt bzw. verhindert werden müssen.

„Fast täglich findet man in den Medien Berichte über die Risiken, die mit der Nutzung des Internets verbunden sind“^[19], was meiner Ansicht nach gewissenhaft bestätigt werden kann.

In öffentlichen Netzen wie dem Internet sind private Daten ständig neuen Gefahren ausgesetzt, wodurch diese in falsche Hände geraten können, nicht abzusehen von dem Risiko, mit abstoßenden, vor allem für Kinder unzumutbaren, Inhalten konfrontiert zu werden. Für Unternehmen sind die Gefahren noch weitreichender, da durch gestohlene oder gelöschte Firmendaten neben dem Unternehmen selbst auch Einzelpersonen zu Schaden kommen können. Ebenfalls zu beachten sind die finanziellen Folgen, die eine Firma durchaus ruinieren können, wenn wichtige Daten oder Firmengeheimnisse wie Projektdateien, Patente oder die Kundendatenbank gestohlen werden.^[20]

Aus diesen Gründen darf das Thema Sicherheit nicht isoliert, sondern muss als integrierter Bestandteil einer VPN-Lösung gesehen werden. Zwar spielte der Aspekt Sicherheit in der Vergangenheit keine besonders große Rolle, da Datennetze auf das Unternehmensgelände begrenzt waren, doch durch die veränderten Arbeits- und Kommunikationsweisen der heutigen Zeit hat sich dies drastisch geändert. Die folgenden Aussagen bzw. Feststellungen von Lipp bestätigen dies:

- Die Zahl der Remote-Nutzer mit Zugriff auf Firmennetze steigt kontinuierlich, besonders durch die mittlerweile beliebten Heim-Arbeitsplätze. Somit ist das Netz nicht mehr auf das Firmengelände begrenzt und es bedarf der Einrichtung, Betreibung sowie Überwachung vieler Remote-Verbindungen.
- Immer mehr Unternehmen bieten ihre Produkte auch auf elektronischem Weg zum Verkauf an und öffnen ihre Firmennetze auch für Zulieferer, Partner oder Kunden. Dafür werden sowohl nationale als auch internationale Verbindungen notwendig. Der Aufbau bzw. das Anmieten eines eigenen Leistungsnetzes ist jedoch für die wenigsten Firmen rentabel. Deshalb werden für diese Anwendungen vermehrt öffentliche Netze wie das Internet als virtuelle private Netzwerke genutzt.
- Das Netz hat für den wirtschaftlichen Erfolg von Unternehmen mittlerweile einen weitaus höheren Stellenwert als in der Vergangenheit, denn je mehr unternehmenskritische Ressourcen daran angeschlossen werden und je mehr Anwendungen darüber miteinander kommunizieren, desto stärker wird das Netz zum geschäftsbestimmenden Faktor.

Da jedoch einige oder sogar viele Daten vertraulich sind, müssen diese vor Ausspähung und unerlaubten Veränderungen geschützt werden, während sie gleichzeitig aber auch noch verfügbar sein müssen. Die Problematik liegt nun darin, dass 100% sichere Daten nicht mehr verfügbar und umgekehrt 100% verfügbare Daten nicht mehr sicher sind. Aus diesem Grund bleibt zur praktikablen Umsetzung nur der Kompromiss zwischen Verfügbarkeit und Sicherheit.

Um die Entscheidung über einzusetzende Sicherheitstechniken zu erleichtern, sollte eine Datenanalyse vorausgehen, um folgende Fragen zu beantworten:

- Welche Arten von Daten sind im Unternehmen vorhanden?
- Wie sicher müssen diese Daten sein?
- Vor wem müssen sie sicher sein?
- Wie hoch sind Sicherheitsverletzungen zu bewerten?
- Über welche Dauer müssen Sicherheit und vor allem Vertraulichkeit gewährleistet sein?
- Zu welchem Preis (Kosten, Verfügbarkeit, Benutzbarkeit) dürfen diese Ziele erreicht werden?

Weiterhin hat die Analyse, vom wem ein Unternehmen womöglich bedroht wird, Auswirkung auf die einzusetzenden Sicherheitstechnologien. Wird eine Firma nur von einer Privatperson angegriffen, ist in der Regel weniger Schutz notwendig, als wenn sie befürchten muss, von Konkurrenzunternehmen oder sogar Geheimdiensten ausgespäht zu werden. Denn hierdurch unterscheiden sich auch die zur Verfügung stehenden finanziellen und daraus resultierenden technischen Mittel auf Seiten des Angreifers, welche bei einer Privatperson meist nicht besonders hoch sind. Im anderen Fall muss entsprechend mehr Sicherheit zu höheren Kosten implementiert werden. Jedoch gibt es auch professionell arbeitende Hacker, die als “Einzelperson“ mehr Schaden anrichten können als so manches Konkurrenzunternehmen oder andere Institutionen mit entsprechend größerem Budget.^[21]

An dieser Stelle sollte auch erwähnt werden, dass es oftmals, wenn nicht sogar meistens, sehr schwer ist, die möglichen Bedrohungen eines Unternehmens im Voraus abzuschätzen.

Die beschriebenen Aspekte haben direkte Auswirkungen auf die technischen Details der Sicherheitstechnologien wie beispielsweise einzusetzende Verschlüsselungs- oder Authentifizierungsverfahren, Schlüssellänge oder die Kombination verschiedener Technologien.^[22]

4.2. Sicherheitskonzepte

Zum Schutz der Datenübertragung über (unsichere) öffentliche Netze werden in einem Virtuellen Privaten Netzwerk die vier grundsätzlichen Konzepte Firewalls, Tunneling, Verschlüsselung und Authentifizierung verwendet, die im Folgenden behandelt werden:

4.2.1. Firewalls

Ein Internet-Firewall dient als Schutzvorrichtung, um einen bestimmten Bereich wie ein privates Firmennetz vor Angriffen aus öffentlichen Netzen abzusichern und unerwünschte Besucher vom sicheren Rechner oder Netzwerk fernzuhalten. Weiterhin trägt es zur Schadensbegrenzung bei, so dass Gesamtschäden möglichst gering gehalten werden. Präziser ausgedrückt, ermöglicht ein Firewall die Überprüfung des Datenverkehrs von einem Rechner oder einem Netz in das Internet und vor allem aus dem Internet zum Rechner bzw. Netzwerk hin. Dabei werden z. B. Internetadressen von Paketen oder angeforderte Ports überprüft und entschieden, welche Nachrichten ins Netz oder von ihm geholt werden dürfen. Festgelegt sind diese Regelungen in der Konfiguration des jeweiligen Firewalls, so dass je nach Anforderungen und Unternehmenssicherheit eine spezifische Anpassung vorgenommen werden kann.

4.2.2. Tunneling

Tunneling stellt das Grundprinzip der meisten VPN-Technologien dar und bezeichnet die Verschachtelung von Protokollen. Da es vorkommen kann, dass firmeninterne LAN’s nicht immer TCP/IP-Netze darstellen und beispielsweise NetBIOS Extended User Interface (NetBEUI) oder Internetwork Packet Exchange (IPX) verwenden, wird durch das Tunneling die Möglichkeit geboten, ein Paket in ein anderes zu kapseln und damit sonst inkompatible Protokolle zu transportieren. So können im oben genannten Beispiel IPX-Pakete durch ein IP-Netzwerk transportiert werden. Das gekapselte Paket kann sowohl demselben als auch einem völlig anderen Protokoll angehören. Es können Pakete mit beliebigen Ziel- und Quelladressen im Internet verschickt werden, da diese wiederum in Paketen untergebracht sind, deren Ziel- und Quelladresse dagegen geroutet werden können. Dadurch kann auch der normalerweise im Internet nicht routbare, von der Internet Assigned Numbers Authority (IANA) vergebene, private IP-Adressbereich (RFC 1918) verwendet werden, wodurch Rechner mit diesen Adressen vom Internet zugänglich gemacht werden können. Gleichzeitig ermöglicht es das Verstecken der nicht registrierten privaten Netzwerk- oder Hostadressen, indem man die IP-Pakete mit den privaten Adressen in Pakete mit offiziell registrierten, im Internet routbaren, Adressen einkapselt. Es wird also IP in IP getunnelt.^[23]

Der Ablauf einer Paketkapselung ist in folgender Abbildung dargestellt und im Anschluss verbal beschrieben:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Kapselung und Transport von Netzwerkpaketen^[24]

Die Netzwerkpakete (Layer 3) werden mit einem neuen Layer-3-Header in andere Netzwerkpakete eingekapselt (Encapsulation). Zwischen dem neuen Layer-3-Header und den Nutzdaten kommt noch ein Tunnel-Header (Protocol Header) hinzu, wodurch das Empfängersystem erkennt, dass es sich um ein Paket des betreffenden Tunneling-Protokolls handelt. Empfängerseitig wird der Header ausgewertet, das ursprüngliche Paket entpackt (Decapsulation) und weiter transportiert. Die Tunnelverbindung besteht zwischen den Tunnel-Endpunkten, welche durch die Netzwerkadressen des neuen Layer-3-Headers festgelegt werden. In der Regel können die Tunnel-Endpunkte sowohl normalen Netzwerkverkehr als auch Tunnelpakete verarbeiten. Wie ein Paket jeweils zu behandeln ist, stellt der Empfänger am Tunnel-Header oder der IP-Protokollnummer fest. Der zusätzliche Tunnel-Header im IP-Protokoll ist allerdings in manchen Fällen nicht notwendig, da gemäß dem Standard das Protokoll-Feld zur Anzeige des folgenden Headers dient. So beispielsweise der Wert ’6’ für TCP und ’17’ für UDP. Wird nun im Protokoll-Feld des IP-Headers der Wert ’4’ (= IP) definiert, weiß damit die Gegenstelle, dass es sich beim folgenden Paket um ein IP-Paket handelt und somit ein vollständiges Paket eingekapselt wurde. In diesem Fall wurde IP-in-IP-Tunneling ohne einen speziellen (zusätzlichen) Header angewendet. Ob es beim Sender zu einer Einkapselung kommt hängt von der Verarbeitungsstrategie höherer Protokollschichten ab. Dabei kann es sich um Sicherheitsstrategien oder interne Tabellen mit entsprechenden Kennzeichnungen handeln, die Aufschluss auf die Art des Transportes und ein mögliches Tunneling geben. Aus Sicherheitsgründen werden hingegen Security-Gateways manchmal so konfiguriert, dass dort keine “normalen“ Protokolle, sondern ausschließlich Tunneling-Protokolle terminiert werden.^[25]

4.2.2.1. Tunneling-Protokolle

Zu den wichtigsten und weitverbreitesten Tunneling-Protokollen auf OSI-Schicht 2 (Data Link Layer) zählen das Point-to-Point Tunneling Protocol (PPTP), das Layer-2-Forwarding Protocol (L2F) sowie das Layer 2 Tunneling Protocol (L2TP). Dagegen kommt auf Schicht 3 (Network Layer) das standardisierte Internet Protocol Security (IPSec) zum Einsatz, also bei VPN-Verbindungen über das Trägersystem Internet.

Das Point-to-Point Tunneling Protocol wurde in einem Gemeinschaftsprojekt von Microsoft®, Ascend Communications, U. S. Robotics®, 3 Com® und ECI Telematics entwickelt und mit Windows® NT 4.0 eingeführt. Verwendet wird es oftmals für die Einwahl bei einem Internet Service Provider (ISP).

Das Layer 2 Forwarding Protocol (RFC 2341) entstand aus Entwicklungen der Firma Cisco und dient der Einwahlverbindung. Es bietet keine Verschlüsselung und nur eine schwache Benutzerauthentifizierung.

In Zusammenarbeit mit der Internet Engineering Task Force (IETF) schloss sich Cisco mit dem PPTP-Forum zusammen und entwickelte das Layer 2 Tunneling Protocol (RFC 2661). Es vereint die besten Eigenschaften von PPTP und L2F, während es in gewissem Maße noch abwärtskompatibel ist.

PPTP, L2F und L2TP dienen zum Tunneling von PPP-Verbindungen über das Internet, die normalerweise zwischen einem Client und einem entfernten Rechner verlaufen, beispielsweise einem Remote Access Server. Das Point-to-Point Protocol (PPP) arbeitet ebenfalls auf Layer 2 und wird üblicherweise dazu eingesetzt, um IP oder andere höhere Protokolle über serielle oder digitale Verbindungen zu leiten. Da die Tunnel-Protokolle PPTP, L2F und L2TP auf der vorhandenen PPP-Infrastruktur aufbauen, können die Funktionalitäten des PPP wie dynamische Adresszuweisung (DHCP), benutzerorientierte Authentifizierung und Kompression mit verwendet werden.^[26]

IPSec (RFC 1825 -1829) beruht ebenfalls auf Entwicklungen der IETF und stellt eine Verwirklichung der Idee dar, ein sicheres Protokoll für IP-Pakete zu entwickeln, indem TCP/IP um eine Authentifizierung sowie Verschlüsselung erweitert wird. Die durch dieses Protokoll bereitgestellten Dienste gewährleisten sichere Ende-zu-Ende-Verbindungen und unterstützen sowohl den aktuellen IPv4 als auch den zukünftigen IPv6 Standard. IPSec liefert allerdings nur den Rahmen für eine modulare Sicherheitsstruktur und definiert keine speziellen Verschlüsselungsalgorithmen oder Schlüsselaustauschverfahren.^[27] Eine entsprechende Methode wäre beispielsweise mittels Secure Socket Layer (SSL), einem Verfahren zur sicheren Datenübertragung auf Basis der RSA (Rivest, Shamir, Adleman)-Verschlüsselung.^[28]

Man unterscheidet bei IPSec die zwei Verschlüsselungsmodi Transport- und Tunnelmodus. Während beim Transportmodus nur der Nachrichtentext geschützt wird, gilt dies dagegen beim Tunnelmodus zusätzlich auch für den Header. Demnach ist letzterer die sicherere Methode, da neben der Identität von Sender und Empfänger auch andere IP-Felder verborgen bleiben, die einem Mithörer wertvolle Informationen liefern könnten.^[29]

Während mit einem Layer 2 VPN bereits der Verbindungsaufbau gesichert werden kann, setzt IPSec auf Layer 3 dagegen eine bereits stehende IP-Verbindung voraus, ohne Rücksichtname auf die Sicherheit dieser Verbindung.^[30]

4.2.3. Verschlüsselung

Ein weiterer wichtiger Aspekt zur Gewährleistung sicherer VPN-Verbindungen stellt die Verschlüsselung dar, welche die Daten im Vergleich zu den meisten anderen Sicherheitsmethoden während der Übermittlung schützt. Diese Technik wird von allen VPN-Arten unterstützt und unterscheidet das Public- und Private-Key-Verfahren. Letzteres ist dadurch gekennzeichnet, dass ein gemeinsamer, geheimer Schlüssel sowohl zur Chiffrierung als auch zur Dechiffrierung verwendet wird. Dieser geheime Schlüssel muss beiden Parteien bekannt sein, um die verschlüsselten Informationen wieder lesbar zu machen. Aus diesem Grund bezeichnet man diese Verfahren auch als symmetrisches System. Angewendet wird diese Technik beispielsweise beim Data Encryption Standard (DES), den auch die Unix-Systemfunktion ’crypt’ zur Verschlüsselung von Passwörtern verwendet. Die folgende Abbildung veranschaulicht die verschlüsselte Datenübertragung mit gleichen Schlüsseln:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: symmetrische Datenübertragung mit gleichen Schlüsseln^[31]

Die Nachricht wird vom Sender mit einer gewählten Verschlüsselungsfunktion und unter Verwendung des Schlüssels chiffriert und an den Empfänger übermittelt. Dieser besitzt ebenfalls den Schlüssel und kann mit Hilfe dieser Information die chiffrierte Nachricht entschlüsseln. Vorausgesetzt ist natürlich das gleiche Verfahren, das auch der Sender zum Verschlüsseln benutzt hat. Der Vorteil dieses Ansatzes liegt in der sehr hohen Geschwindigkeit der dabei eingesetzten Algorithmen, doch leider weist dieses Verfahren auch einen gravierenden Nachteil auf.

[...]

---

^[1] vgl. Erwin Mike / Scott Charlie (Hrsg.) / Wolfe Paul: Virtuelle Private Netzwerke [Übersetzung und dt. Bearbeitung: Karsunke Katja / Merz Thomas], Köln 1999, S. 2

^[2] vgl. Erwin u. a., a. a. o., S. 2 und Meder Andreas / Zarenko Alexander, ComConsult Technologie Information GmbH: sichere und kostenoptimale Netzwerklösungen mit VPN-Technologien, Aachen 2002, S. 1f

^[3] vgl. Hellmich Kay (Human Internet Consult GmbH), VPN-Dokumentation der Gesellschaft für angewandte Versicherungs-Informatik (GaVI) mit firmenspezifischem Aufbau und verwendeter Hardware, Stuttgart 2002, S. 7ff

^[4] vgl. Hein Mathias / Reisner Michael / Voß Antje (Hrsg.): Security – Das Grundlagenbuch, Poing 2003, S. 163

^[5] vgl. http://wwwiti.cs.uni- magdeburg.de/iti_amsl/lehre/03_04_WiSem/ak_itsec_v/additional/mswpvpn.pdf, vom 04.03.04

^[6] vgl. Erwin u. a., a. a. o., S. 2ff und Meder u. a., a. a. o., S. 1f

^[7] vgl. ebenda

^[8] vgl. Hasenkamp Ulrich / Stahlknecht Peter: Einführung in die Wirtschaftsinformatik, 10., überarb. und aktual. Auflage, Berlin Heidelberg 2002, S. 112

^[9] Hein, a. a. o., S. 168

^[10] vgl. Meder u. a., a. a. o., S. 4

^[11] vgl. Hein, a. a. o., S. 168

^[12] nach Lipp Manfred: VPN – Virtuelle Private Netzwerke, Aufbau und Sicherheit, München 2001,

S. 21

^[13] vgl. Comer Douglas E.: Internetworking with TCP/IP – Prinziples, Protocols and Architectures, Fourth Edition, Upper Saddle River (New Jersey) 2000, S. 30, Lipp, a. a. o., S. 21f und http://www.net-lexikon.de/Frame-Relay.html, vom 30.03.04

^[14] nach Lipp, a. a. o., S. 22

^[15] vgl. Comer, a. a. o., S. 37, Hasenkamp u. a., a. a. o., S. 108, Lipp, a. a. o., S. 22f und http://gd.tuwien.ac.at/study/hrh-glossar/16-2_1.htm, vom 30.03.04

^[16] vgl. Hasenkamp u. a., a. a. o., S. 106

^[17] vgl. Lipp, a. a. o., S. 20

^[18] vgl. Hein u. a., a. a. o., S. 170 und Lipp, a. a. o., S. 24

^[19] Erwin u. a., a. a. o., S. 4

^[20] vgl. ebenda

^[21] vgl. Lipp, a. a. o., S. 87ff

^[22] vgl. Lipp, a. a. o., S. 89

^[23] vgl. Erwin, a. a. o., S. 8 und Lipp, a. a. o., S. 169f

^[24] nach Lipp, a. a. o., S. 169

^[25] vgl. Hein u. a., a. a. o., S. 168 und Lipp, a. a. o., S. 169f

^[26] vgl. Bankhamer Alfred / Billo Marie-Christine / Hein Brian, Ludwig und Sascha / Moser Robert / Reisner Michael / Schuiki Karl / Weiss Manfred (Hrsg.): TCP/IP Handbuch – Internet- und Transportprotokolle, Routing-Protokolle, Virtual Private Networks, Voice over IP, IP-Sicherheit, Poing 2002, S. 368 und Erwin u. a., a. a. o., S. 63f

^[27] vgl. Erwin u. a., a. a. o., S. 32f

^[28] vgl. http://www.nickles.de/c/g/269.htm, vom 09.05.04

^[29] vgl. Erwin u. a., a. a. o., S. 33

^[30] vgl. Hein u. a., a. a. o., S. 175

^[31] nach Meder u. a., a. a. o., S. 28