Steganographie im Bankensektor und Finanzwesen

INHALTSVERZEICHNIS

1. EINLEITUNG

2. ENTWICKLUNG VON STEGOVERFAHREN
2.1. Steganographie als Zweig der Kunst der Geheimhaltung
2.2. Klassische Stegoverfahren
2.3. Moderne Stegoverfahren
2.4. Systeme der steganographischen Verfahren
2.5. Techniken der Steganographie
2.6. Stego-Software

3. EINSÄTZE DER STEGANOGRAPHIE IN FINANZINSTITUTEN
3.1. IT-Sicherheit im Finanzbereich
3.2. Vorhandene Systeme der IT-Datensicherheit beim Zahlungsverkehr
3.3. Internet-Banking
3.4. Steganographie beim Internet-Banking und –Brokerage
3.5. Steganographie bei der Vertragsabwicklung im Internet
3.6. Digitale Wasserzeichen und digitale Signaturen im Bereich der Datenaufbewahrung

4. Steganogaphie in der Finanzwirtschaft
4.1. Theorie des Insider-Trading und Steganographie
4.2. Maßnahmen zur Vermeidung des Insider-Trading

5. ANALYSE DER EINSATZMÖGLICHKEITEN FÜR STEGANOGRAPHIE IM FINANZSEKTOR

6. FAZIT

ANHANG A. TABELLEN

ANHANG B. GLOSSAR

LITERATURVERZEICHNIS

1. EINLEITUNG

Die Probleme der Sicherheit der Information und die Kunst der Geheimhaltung sind mit der Entstehung des Menschen aufgekommen. Mit der Entwicklung der Computer haben die rechnergestützte Methoden der Datensicherheit an Bedeutung gewonnen. So bietet Kryptographie verschiedene Verfahren für Datenverschlüsselung. Als alternative Technik wird die Steganographie in dieser Arbeit betrachtet. Diese Technik war schon im Altertum bekannt, erlebt aber heute dank den Informationstechnologien die „Renaissance“.

Im Rahmen dieser Arbeit wird versucht, die eventuellen Einsatzbereiche der Steganographie im Finanzwesen vorzuschlagen. Ziel der Arbeit ist, zuerst die Möglichkeiten der Anwendung der steganographischen Methoden zu finden und danach durch den Vergleich von ihren Vorteilen und Nachteilen abzuschätzen, wie hoch die Fähigkeit der Steganographie ist, die Probleme der Datensicherheit zu lösen.

Im zweiten Kapitel der Arbeit werden die allgemeinen theoretischen Elemente der Steganographie besprochen, wie die steganographischen Methoden, Systeme, Techniken und Programme. Am Anfang werden die Zusammenhänge mit der Kryptographie sowie Unterschiede gezeigt.

In dieser Arbeit wird auf die umständlichen technischen Fragen, wie die ausführliche Beschreibung der Algorithmen, verzichtet. Es wird aber mehr auf der Untersuchung der vorhandenen Methoden der Datensicherheit im Finanzwesen konzentriert, um die Stellen zu ermitteln, wo der Einsatz der Steganographie sinnvoll wäre.

So wird im dritten Kapitel das Problem der Datensicherheit im Finanzwesen im engeren Sinne betrachtet. D.h. werden nur die Finanzunternehmen in verschiedenen Bereichen ihrer Tätigkeit beschrieben. Am Ende des Kapitels werden mehrere Vorschläge zum Einsatz der Steganographie in Banken gegeben.

Im vierten Kapitel wird das Problem der Datensicherheit im Finanzwesen im weiteren Sinne erläutert. Hier wird der Zusammenhang der beliebigen Unternehmung mit dem Finanzsektor gezeigt, und dabei das Problem der möglichen Anwendung der Steganographie erwähnt. Am Ende des Kapitels werden die Mittel zur Lösung dieses Problems genannt.

Im fünften Kapitel wird über die Vorteile und Nachteile der Steganographie diskutiert und die Möglichkeiten des praktischen Einsatzes im Finanzwesen analysiert.

Für die Erleichterung der Wahrnehmung dieser Seminararbeit werden verschiedene Daten in Abbildungen und Tabellen zusammengefasst und in Anhängen beigefügt.

2. ENTWICKLUNG VON STEGOVERFAHREN

2.1. Steganographie als Zweig der Kunst der Geheimhaltung

Das Wort „Steganographie“ ist aus dem Griechischen abgeleitet und bedeutet „verdecktes Schreiben“. Die Technik des Versteckens der Information ist schon aus dem Altertum bekannt, hat heute eine Computer-Unterstützung und wird weiterentwickelt. Das Prinzip der Steganographie besteht darin, dass die geheimen Nachrichten durch Einbettung in harmlose Daten versteckt werden, so dass ein Außenstehender das Vorhandensein der geheimen Botschaft nicht erkennen kann.

In der Kunst der Geheimhaltung spielt wichtige Rolle auch die Kryptographie, aus Griechischen: „verschlüsseltes Schreiben“. Hier benutzt man die Verschlüsselungsverfahren, um die Nachricht zu chiffrieren, so dass ein Außenstehender den Inhalt der Botschaft nicht erkennen kann. Die schematische Einordnung der Glieder als Untertype der Geheimhaltung ist auf der Abbildung 1 veranschaulicht.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Zweige der Kunst der Geheimhaltung [In Anlehnung an „Kryptologie im Informatikunterricht“]

Also sowohl Kryptographie als auch Steganographie verfolgen ein gemeinsames Ziel – die Informationssicherung bei Datenübergabe. Die durch Kryptographie verschlüsselten Botschaften sind jedoch auffällig und interessant für die Externen. Es liegt somit ein Anreiz vor, die kryptographische Verschlüsselung zu entschlüsseln. Der Bereich der Kunst der Geheimhaltung, der sich mit der Entschlüsselung der kryptographisch chiffrierten Botschaften beschäftigt, heißt Kryptoanalyse. Das bildet zusammen mit der Kryptographie ein gemeinsames wissenschaftliches Gebiet – Kryptologie.

Nachteil der Steganographie – sofortige Möglichkeit des Durchlesens nach der Entdeckung der eingebetteten Nachricht – ist bei der Anwendung der kryptographischen Verfahren gelöst. Verschlüsselte Daten sind gegenüber Angriffen relativ robust. Die beste Variante wäre deswegen, die kombinierte Technik anzuwenden. Die zu sendende geheime Nachricht wird durch die Kryptographie verschlüsselt und danach durch die Steganographie in eine unauffällige Datei versteckt. Also der erste Grund der heutigen zunehmenden Anwendung der Steganographie ist die Eliminierung des Anreizes, die chiffrierten Botschaften zu entschlüsseln.

Der zweite Grund ist die gesetzliche Beschränkung der kryptographischen Verfahren, die in einigen Ländern schon gilt (z.B. Kryptographie-Verbot in Frankreich für nicht staatliche Unternehmungen) und in Deutschland in Zukunft auch wirksam werden kann^[1]. Aus dieser Sicht kann die Steganographie für Verstecken der kryptographischen Verschlüsselung angewendet werden.

Wie oben gesagt wurde, hat die Steganographie ein gemeinsames Ziel mit der Kryptographie. Wenn wir aber die so genannte „technische“ Steganographie betrachten, hat sie kaum etwas Verwandtes mit den Krypto-Methoden. Dazu gehören die noch bis heute existierende Geheimtinte, hohle Schuhabsätze, doppelte Böden sowie relativ modernes Verfahren der Mikrophotografie, das in dem Zweiten Weltkrieg von Deutschen entwickelt wurde.

Näher zur Kryptographie ist die „linguistische“ Steganographie. Mittels der unterschiedlichen Verfahren (ohne und mit dem Computer-Einsatz) lassen sich die Nachrichten in den unauffälligen Daten verstecken. Diese harmlosen Daten sind als Behälter (Container) bekannt. Die beliebigsten Container sind die Text-, Bild- und Audiodateien^[2]. Weiter wird nur die „linguistische“ Steganographie betrachtet.

2.2. Klassische Stegoverfahren

Die „linguistischen“ Stego-Methoden, die ohne Anwendung der entsprechenden Computer-Programme funktionieren, heißen die klassischen Methoden. Unter der Menge der klassischen steganographischen Verfahren kann man zwischen zwei Klassen unterscheiden. Das sind Semagramme und Open Code.

Semagramme versteckt die Botschaft in einer sichtbaren Datei (Text oder Bild). Es existieren Text-Semagramme und „echte“ Semagramme. Beispiele für Text-Semagramme sind unterschiedliche Zeichensätze oder Satzpositionen im Text, rekursive Punkte, Textabschwünge, punktierte Unterstreichung u.ä. Dagegen ist die Zeichnung des Morse-Alphabets eine „echte“ Semagramme.

Bei Open Code schickt man die Nachricht offen (aber mit anderer harmlosen Bedeutung) oder die harmlose Daten mit der eingebetteten ursprünglichen Nachricht. Hier ist noch weitere Untergliederung nötig. Zwei Unterklassen sind die maskierten Geheimschriften und die verschleierten Geheimschriften.

Maskierte Geheimschriften setzen die vorherige Vereinbarung zwischen Absender und Empfänger betreffs der Bedeutung der einzelnen Geheimschriftenelemente voraus. Typische Beispiele sind der Fach-Jargon und der Slang einer bestimmten Gruppe. Dazu gehört auch Ave-Maria-Code.

Bei verschleierten Geheimschriften ist die ursprüngliche Nachricht unverändert in die offene Nachricht eingebettet. Das alles klappt unter der Bedingung, dass die beide Parteien über einen bestimmten Platz vereinbart haben, wo interessierende Nachricht erscheinen kann. Mögliche Abkommen sind die Regeln (z.B. jeder zehnte Buchstabe ist relevant) oder der Raster.

2.3. Moderne Stegoverfahren

Im Gegensatz zu den klassischen Methoden der Steganographie sind die so genannten modernen Verfahren mit dem weltweiten Computer-Einsatz verbunden^[3]. Als populärste Ansätze sind Audio- und Graphikkomprimierung und die mathematische Methoden zu erwähnen.

Bei Bildkomprimierung können verschiedene Computer-Programme die Nachrichten durch die digitale Kodierung in den „ausgeliehenen“ Bits der Farbigkeits- oder Graustufeinformation verstecken. Die Änderung der Farbe oder der Qualität kann man visuell nicht erkennen.

Dieselben Grundsätze werden bei der Audiokomprimierung benutzt. Die Mitteilung kann sogar während des ISDN-Telephon-Gesprächs durch die parallele Entnahme der Bits aus dem digital kodierten Rauschen gesendet und gelesen werden.^[4] Kodierung des vom Signal unabhängigen Rauschens kann man als die perfekte Steganographie betrachten. Das Rauschen wird durch die digitalen Datenflüsse, die genauso wie das statische Rauschen aussehen, ersetzt. In der Praxis existieren aber keine unabhängige Rauschen. Deswegen kann dieses Stego-Verfahren jedoch entdeckt werden.

Vielfältige mathematische Methoden können die harmlosen Texte in Verbindung mit Zahlen setzen, wie z.B. die Anzahl der Buchstaben in Wörter, gerade oder ungerade Anzahl der Buchstaben usw. Eine fortgeschrittenere Methode benutzt z.B. die Restwerte aus der Primzahlenreihe.

Kombinationen von Kryptographie und Steganographie geben die Möglichkeit, die Nachrichten fast unzugänglich für Fremden zu machen. Beispiel dazu ist das Programm S-Tools von Andy Brown, das eine kräftige Integration von kryptographischen Verfahren (IDEA und Triple-DES) und der möglichen weiteren Versteckung in Audio- oder Bilddatei darstellt.

Anhand der vorhandenen kryptographischen und steganographischen Methoden (s. Abbildung 2) kann man bei einer Organisation die ganzen verdeckten Kommunikationssysteme bilden.^[5]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Steganographische Verfahren [In Anlehnung an Gerold: „Kryptologie – eine überführende Übersicht“]

2.4. Systeme der steganographischen Verfahren

Außerdem gliedert man die moderne rechnergestützte steganographischen Systeme auf zwei unterschiedliche Kategorien: Konzelationssysteme und Authentikationssysteme (vgl. Abbildung 3).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Steganographische Systeme [in Anlehnung an Барсуков, В.С.: „Компьютерная стеганография: вчера, сегодня, завтра“]

Für Konzelationssysteme gelten die Software zum Verstecken der Nachrichten in anderen Daten (wie oben genannt – graphische, Video-, Audio- und Textdateien). Authentikationssysteme dienen der Einbettung bestimmter Merkmale in die Datei. Das ist so genannter digitaler Watermarking. Dazu gehören digitale Wasserzeichen und digitale Signaturen. Diese Merkmale bestätigen die Originalität vorliegenden Dokumentes (z.B. Bildes), wobei sie visuell (sowie für Computer ohne entsprechende Software) nicht erkennbar sind. Man diskutiert aber stark, ob der digitale Watermarking ein Teil der Steganographie oder ein selbständiger Bereich des Informationsversteckens ist. D.h. die Steganographie enthält nur die Konzelationssysteme und die Authentikationssysteme treten als ein separater und unabhängiger Zweig der Kunst der Geheimhaltung auf. In dieser Arbeit geht man davon aus, dass der digitale Watermarking als der Teil der Steganographie betrachtet und in dem Begriff „Authentikationssysteme“ erfasst wird. Gemeinsame Eigenschaften liegen hier darin, dass ein übertragener File in beiden Fällen die eingebettete Information enthält. Der Zweck ist dabei aber verschieden.

Die Methode der digitalen Unterschreibung besteht darin, dass der Dokument als eine kurze Datei (so genannte Quersumme - die Zahl mit der konstanten für beliebige Dokumente Länge) dargestellt werden kann, die nur aus diesem Dokument (und nicht von irgendwelchen anderen) hergeleitet werden kann^[6]. Diese kleine Datei heißt Hash-Wert. Er wird durch die komplizierte Berechnung mit sehr hohen Primzahlen aus den Binärzahlen aller Symbole des Dokumentes generiert (mathematische Krypto/Stego-Methoden). Danach wird dieser Hash-Wert verschlüsselt und mit dem ursprünglichen File gesendet. Der Empfänger berechnet nach dem Erhalten des Dokumentes die Quersumme noch Mal und vergleicht mit dem erhaltenen und entschlüsselten Hash-Wert. Wenn die beiden Quersumme gleich sind, zeugt das darüber, dass keine Veränderung der Nachricht unterwegs war. Die Sendung kann nicht nur in separaten Files erfolgen, sondern der Hash-Wert kann mittels der steganographischen Verfahren auch in ein ursprüngliches Dokument eingebettet werden.

2.5. Techniken der Steganographie

Wenn man auch die wissenschaftlichen Richtungen der Entwicklung von Stego-Verfahren in Rücksicht nimmt, kann man zwei Techniken der Einbettungen hervorheben, und zwar die Methoden, den die spezielle Eigenschaften der Computer-Formate zugrunde liegen, und die Methoden, die sich auf der Überflüssigkeit der Audio- oder Videoinformation basieren. Die Struktur der steganographischen Technik ist auf der Abbildung 4 dargestellt, während derer ausführliche Beschreibung in der Tabelle 1 (s. Anhang A) gegeben.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Steganographische Techniken [in Anlehnung an Барсуков, В.С.: „Компьютерная стеганография: вчера, сегодня, завтра“]

Methoden mit Verwendung der speziellen Format-Eigenschaften sind z.B. Null-Chiffre, Entfernung der Indentifizierungsüberschrift des Files, Imitation usw.

Man wählt die speziellen Format-Eigenschaften in Abhängigkeit vom konkreten Fall, d.h. vom Grad der möglichen Sichtung, Durchlesen und „Abhorchen“.

Methoden mit Verwendung der Überflüssigkeit der Information in den digitalen Bildern, Audio- und Videodateien haben als Grundlage die leere Stellen in digitaler Kodierung, die man mit der zusätzlichen Information ausfüllen kann, ohne die Qualität der Datei bei Wahrnehmung zu beeinflussen. Problem dieser Methode besteht darin, dass die statistischen Charakteristika der digitalen Flüsse verzerrt werden und daher vom Computer erkennbar sein können. Für die Eliminierung der kompromittierenden Merkmale muss man noch die statistischen Daten korrigieren. Das bringt aber sehr großen Vorteil. Man hat dabei die Möglichkeit, sehr große Volumen der Information zu übertragen. Außerdem sind man jetzt in der Lage, die Urheberrechte zu schützen und die Originalität der digitalen Daten zu beweisen, indem man die digitale Wasserzeichen oder digitale Unterschriften anwendet.

Unter den beiden großen Klassen der Stego-Verfahren gewinnen die Methoden mit Verwendung der Überflüssigkeit von der visuellen und Audioinformation besonders an Bedeutung. Digitale Fotos, Musik und Video sind die Matrizen von Zahlen, die kodierte in diskrete Raum- oder Zeitmomente Intensität darstellen. Also digitale Fotos sind die Zahlenmatrizen, die Intensität vom Licht im bestimmten Ort darstellen; digitaler Ton ist die Matrix von Zahlen, die Intensität vom Ton in den aufeinander folgenden Zeitpunkte darstellen. Alle diese Zahlen sind unpräzis, weil die Kodierungsanlagen für Digitalisierung der analogen Signale unpräzis sind. Immer existiert so genanntes Quantisierungsrauschen. Sie sind besonders in den niedrigeren Bit-Klassen der Digitalisierung angesiedelt. D.h. die niedrigeren Bit-Klassen haben kaum die nützliche Information über die laufenden Ton- oder Videoparameter. Wenn man sie ausfüllt, hat das wenige Einflüsse auf die Qualität der Wahrnehmung dieser Dateien von Leuten.

Z.B. werden die Pixel in Farbbildern vom RGB-Vermischen durch drei Bytes kodiert.^[7] Also jedes Pixel besteht aus drei Bestandteilen: „rot“, „grün“ und „blau“ (RGB). Die Veränderung von jedem aus drei niederwertigsten Bits führt zur Veränderung um weniger als 1% der Intensität des Pixels (so genannte LSB-Methode). Das lässt circa 100 KB Information im Bild von 800 KB so verstecken, dass die Einbettung bei der Durchsicht nicht erkennbar wird. Nachteil der Methode ist die leichte Entdeckbarkeit mittels der visuellen und statistischen Angriffe.

Noch ein Beispiel: eine Sekunde des digitalen Tons mit der Diskretisierungsfrequenz 44 100 Hz und 8-Bit-Level (in Stereomodus) erlaubt circa 10 KB Information zu verstecken. Wobei ändert sich der ursprüngliche Ton um weniger als 1%. Das ist von Leuten auch nicht zu bestimmen. Diese Methode ist auch unzuverlässig und schnell zu entdecken^[8].

2.6. Stego-Software

Es gibt eine ganze Menge der steganographischen Programme für verschiedene Operationssysteme. Es existieren auch Shareware und sogar Freeware. Nicht alle (aber meisten) kostenlose Programme, wie z.B. Secure Engine, garantieren keine totale Sicherheit bei der Sendung und werden eher für die ersten Schritte in der Praxis der steganographischen Sendungen bestimmt. Die Benutzer, die das Problem des Geheimnisses ernst nehmen, verwenden die professionellen Softwares. Das betrifft aber nicht die Softwares, die für OS „Linux“ oder „Macintosh“ entwickelt wurden. Diese Programme sind ziemlich sicher und kostenlos gleichzeitig. Die wichtigsten steganographischen Softwares sind in den Tabellen 2 und 3 (s. Anhang A) zusammengefasst.

Die manchen Softwares^[9] stellen eine vollkommene (auf heutigen Tag) Sicherheit dar, d.h. es geht um die perfekte Resistenz gegen sowohl visuellen als auch statistischen Angriffe. Diese Programme sind JPSH-Win, F5 von Andreas Westfield, Outguess und mp3Stego.

[...]

^[1] Vgl. [16] Stefani: http://www.uni-kassel.de/~sstefani/html/uni/krypto01.htm

^[2] Vgl. [9] Gerold: http://home.in.tum.de/~gerold/neuestefassung/stegmod.html

^[3] Vgl. [1] Baur: http://www-stud.fht-esslingen.de/projects/krypto/stega/stega-3.html

^[4] Vgl. [7] Franz: http://www.inf.tu-dresden.de/~aw4/stego/ISDN-Beispiel.pdf

^[5] Vgl. [14] Simmons (1994), S. 459 – 473

^[6] Vgl. [19] Wegscheider: http://www.pinoe-hl.ac.at/bildung/intel/recht/recht_handout.pdf

^[7] Vgl. [8] Gadegast: http://www.powerweb.de/phade/diplom/kap232.htm

^[8] Vgl. [2] Bender (1996), S. 313-335

^[9] Vgl. Tabelle 2. Anhang B, S. VII