Lade Inhalt...

E-Security - Überblick über Risiken und Gegenmaßnahmen

Seminararbeit 2002 24 Seiten

Informatik - Wirtschaftsinformatik

Leseprobe

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 E-Security
2.1 Was ist E-Security?
2.2 Sicherheitsanforderungen
2.3 E-Security in der Logistik

3 Bedrohungs- und Risikoanalyse
3.1 Gefahrenpotenziale
3.1.1 Angriffe von Außen
3.1.2 Angriffe von Innen
3.1.3 Angriffsarten
3.1.4 Motive der Angreifer
3.2 Gefahrenquellen
3.2.1 Destruktive Programme
3.2.2 Passwörter
3.3 Risiko Zahlungsabwicklung

4 Sicherheitsmaßnahmen
4.1 Kryptographie
4.1.1 Symmetrische Verschlüsselung
4.1.2 Asymmetrische Verschlüsselung
4.2 Digitale Signatur
4.3 Secure Socket Layer (SSL)

5 Software
5.1 Pretty Good Privacy (PGP)
5.2 Firewalls
5.3 Virenschutzprogramme

6 Fazit

Literaturverzeichnis

Abbildungsverzeichnis

Abb. 1: Vernetzung der Logistikunternehmen

Abb. 2: Verursacher von elektronischen Sicherheitsverletzungen

Abb. 3: Übersicht über die unterschiedlichen Angriffsarten

Abb. 4: Motive der Angreifer

Abb. 5: Symmetrische Verschlüsselung

Abb. 6: Asymmetrische Verschlüsselung

Abb. 7: Symbol für eine mit SSL abgesicherte Webseite

Abb. 8: Funktionsprinzip einer einfachen Firewall

Abb. 9: Abwehr eines Hackerangriffs mit "Zone Alarm"

Abb. 10: E-Security Marktentwicklung 1999-2004

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Schon in der Maslowschen Bedürfnispyramide folgt das Bedürfnis nach Sicherheit bereits an zweiter Stelle und stellt somit eine Grundvoraussetzung für die Befriedigung der folgenden Bedürfnisse dar.

Sicherheit ist auch die Grundlage für Logistik- und Geschäftsprozesse im Internet. Mit der sich abzeichnenden totalen Vernetzung der Wirtschaft über das Internet, Intranets und Extranets steigen auch die Risiken, das geheime Daten abgehört oder im schlimmsten Fall manipuliert bzw. zerstört werden. Gerade im Bereich des E-Business muss mit Daten und Informationen besonders sorgfältig umgegangen werden. "Denn niemand will, dass seine vertraulichen Daten in fremde Hände geraten. Vor allem bei Geschäftsbeziehungen zwischen Unternehmen ist größtmögliche Sicherheit für alle im Internet übermittelten Informationen ebenso unerlässlich wie für alle Datenbestände innerhalb der Firma."[1] Die Betriebe wollen ihre Datennetze zwar nach außen für Lieferanten, Geschäftspartner und Kunden öffnen, damit diese elektronisch ohne Medienbrüche in die Geschäftsprozesse eingebunden werden können, doch soll zugleich ein unbefugter Zugriff von Außen verhindert werden.[2]

Gefahren für die Unternehmen drohen jedoch nicht nur von außen. Auch im Unternehmen müssen gewisse Sicherheitsvorkehrungen getroffen werden, damit nicht das Risiko besteht, dass sensible Daten oder das System beschädigt werden. Deshalb sollte sich jedes Unternehmen mit dem Thema "E-Security" (dt.: Elektronische Sicherheit) befassen. Denn Geschäfte sind Vertrauenssache, gerade in öffentlichen Netzen. Wer keine optimale Sicherheit bietet, läuft Gefahr, seine Kunden zu verlieren und sein Unternehmen zu ruinieren.[3] Die folgende Seminararbeit soll einen kleinen Überblick geben, welche Risiken und Gefahren es im Bereich der Elektronischen Sicherheit gibt, welche Gegenmaßnahmen man ergreifen kann und welche Softwareprogramme dabei helfen.

2 E-Security

2.1 Was ist E-Security?

Im Zeitalter von E-Business und E-Commerce gewinnt der Begriff "E-Security" immer mehr an Bedeutung. Sicherheit ist vor allem dort wichtig, wo Unternehmen sensible Daten aufbewahren und austauschen oder finanzielle Transaktionen über ein öffentliches Netz abwickeln wollen.[4] Jedes Unternehmen, das ein EDV-System einsetzt, ist in der Regel darauf angewiesen, dass dieses reibungslos funktioniert. Ein Ausfall des Systems, verursacht durch Sicherheitsprobleme, bedeutet meistens nicht nur einen hohen finanziellen Schaden, sondern womöglich Tausende von verärgerten Kunden. Zu allem Überfluss kommen dann noch juristische Probleme wie Regressansprüche oder Schadensersatzforderungen hinzu.[5]

Um die dauernde Informationssicherheit zu gewährleisten, müssen elektronische Maßnahmen getroffen werden. "E-Security umfasst alle Disziplinen der Unternehmenssicherheit, die das Ziel haben, die Sicherheit von E-Business Lösungen und der damit verbundenen IT-Systeme zu gewährleisten."[6] Dazu gehören

- das Aufspüren, Erkennen und Beseitigen von Computerviren,
- der Schutz der Daten vor Verlust, Manipulation und vor dem Zugriff durch Unbefugte,
- die Gewährleistung der Verfügbarkeit,
- die Vertraulichkeit,
- die Integrität und die Authentizität.[7]

2.2 Sicherheitsanforderungen

Wie im vorherigen Absatz schon angesprochen, hat E-Security die Unternehmens- sicherheit als oberstes Ziel. "Mit Sicherheit ist dabei in erster Linie der sichere Transport und die sichere Speicherung von Daten gemeint."[8] Aber auch die an das öffentliche Netz angeschlossenen Rechner können bei Sicherheitsproblemen in Mitleidenschaft gezogen werden. Um einen ausreichenden Schutz gewährleisten zu können, muss bei E-Security das Hauptaugenmerk besonders auf nachfolgende Kriterien gelegt werden.

- Verfügbarkeit: Im Zeitalter von E-Business wird es zunehmend wichtiger, das Geschäftspartner von außen rund um die Uhr über ein öffentliches Netz auf Dienstleistungen oder Datenbanken zugreifen und Transaktionen abwickeln können. Daher muss sichergestellt werden, dass äußere Einflüsse die Verfügbarkeit der Daten nicht beeinflussen. "Denn Daten, auf die nicht (oder nicht mehr) zugegriffen werden kann, sind für das Unternehmen wertlos."[9]

- Vertraulichkeit: Beim Informationsaustausch müssen Daten vor dem Einblick und dem Zugriff durch unbefugte Dritte geschützt werden.

- Integrität: Gerade im Online-Zeitalter ist die Integrität von Daten ein Problem. "Im Internet gibt es keine Gewissheit, dass eine empfangene Nachricht mit der gesendeten identisch ist, da sie ein Netzwerk mit Millionen angeschlossener Computer durchläuft. Jeder kann dabei potentiell Änderungen durchgeführt haben."[10]

- Authentizität: Es muss in jedem Fall sichergestellt werden, dass die "richtigen" Personen die Nachrichten austauschen. Der Urheber einer Information muss eindeutig identifizierbar sein.

- Verbindlichkeit: Keiner der Beteiligten soll bestreiten können, dass eine Informationsübermittlung erfolgreich stattgefunden hat. "Im Internet kann jeder behaupten, eine Nachricht nicht erhalten zu haben. Umgekehrt kann auch jeder behaupten, eine bestimmte Nachricht nicht geschickt zu haben."[11]

- Zurechenbarkeit: Für jeden elektronischen Geschäftsprozess muss nachvollziehbar sein, welcher Benutzer welchen Vorgang mit welchen Daten ausgeführt hat. Bei Sicherheitsverletzungen oder Datenmissbrauch kann somit der potenzielle Schuldige schneller gefunden werden.[12]

2.3 E-Security in der Logistik

Neben den klassischen Kommunikationsmöglichkeiten Fax, Telefon und Brief wird im Bereich der Logistik zunehmend das Internet als Vertriebs- bzw. Absatzkanal angeboten und genutzt. Unternehmen nutzen die Vernetzung mit anderen Unter- nehmen, um schnell und wirtschaftlich am Markt tätig sein zu können. "Das Internet dient aufgrund seiner definierten Standards als geeignete Plattform, um die heterogene Struktur der Informations- und Kommunikationssysteme der beteiligten Partner miteinander zu verknüpfen."[13]

Auch wenn viele Logistikunternehmen das Internet zukünftig als Plattform für eine reibungslose und schnelle Kommunikation mit Kunden und Lieferanten ansehen, müssen zunächst elektronische Sicherheitsmaßnahmen getroffen werden, um einen reibungslosen und sicheren Ablauf der Geschäftsprozesse gewährleisten zu können. Denn im Internet gibt es keine Aufsichts- oder Kontrollinstanz, die für Sicherheit sorgt. Jedes Unternehmen ist für die eigene Sicherheit verantwortlich. Logistikdienstleister müssen sich im Rahmen der E-Logistik diesen Anforderungen anpassen.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Vernetzung der Logistikunternehmen[14]

3 Bedrohungs- und Risikoanalyse

Um geeignete Sicherheitsmaßnahmen ergreifen zu können, müssen zunächst die möglichen Gefahren und die Risiken für die elektronische Sicherheit erkannt werden.

3.1 Gefahrenpotenziale

Erkenntnisse über die mögliche Identität von potentiellen "Angreifern" liefern die ersten Anhaltspunkte für die Auswahl von elektronischen Sicherheitsmaßnahmen. Die Abwehr von Informatikstudenten, die mit PC und Modem ihre erste "Hack-Erfahrung" sammeln, erfordert weniger Aufwand als die Abwehr von Betriebsspionage oder von Angriffen aus dem Unternehmen selbst. Das Spektrum der möglichen Verursacher von elektronischen Sicherheitsverletzungen umfasst im wesentlichen folgende Personengruppen:

- Firmenangehörige
- Personen aus dem Universitäts- und Schulumfeld
- Personen aus dem Konkurrenz-/Wettbewerbsumfeld
- Personen aus dem Kundenumfeld
- Hacker aus der Computer-Untergrundszene
- professionelle Hacker/Industriespione[15]

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Verursacher von elektronischen Sicherheitsverletzungen[16]

3.1.1 Angriffe von Außen

"Über Hackerangriffe wird immer wieder in der Presse berichtet, insbesondere dann, wenn die Sicherheitsvorkehrungen großer Unternehmen von Einzeltätern überwunden wurden."[17] Im Allgemeinen wird das Wort Hacker für jemanden benutzt, der sich illegal Zugang zu einem fremden Rechnersystem verschafft und zusätzlich noch die daraus gewonnen Informationen verkauft oder erheblichen Schaden an dem System anrichtet. Zu typischen Hackeraktivitäten zählen beispielsweise:

- Angriffe, bei denen einzelne Dienste oder ganze Systeme gezielt überlastet oder zum Ausfall gebracht werden,
- Manipulation von Nachrichten, Webseiten und Webangeboten,
- Missbrauch von Kundendaten, die auf internen Servern gespeichert sind.

3.1.2 Angriffe von Innen

Bemerkenswert ist auch die Tatsache (wie auch Abb. 2 zeigt), dass die größte Gefahr für die elektronische Sicherheit nicht von außen besteht, sondern im eigenen Unternehmen zu suchen ist. Hauptrisiko hierbei sind Betriebsangehörige, die sich nicht konsequent an die bestehenden Sicherheitsrichtlinien halten und beispielsweise fahrlässig Emails mit gefährlichen Anhängen ausführen.

Leider kommt auch die Manipulation des Systems durch die eigenen Mitarbeiter immer wieder vor. "Daten oder Systeme können aus verschiedenen Motiven manipuliert werden: aus Rachegefühlen, um einen Schaden mutwillig zu erzeugen, um sich persönliche Vorteile zu verschaffen oder schlicht zur persönlichen Bereicherung."[18] Die Manipulationen werden noch erleichtert, da oftmals unzureichende organisatorische bzw. technische Hürden getroffen wurden und das Risiko, erwischt zu werden, sehr gering ist.

[...]


[1] www.founders.de

[2] vgl. www.webagency.de

[3] vgl. www.founders.de

[4] vgl. Tim Cole (Managementaufgabe Sicherheit), S.27

[5] vgl. Tim Cole (Managementaufgabe Sicherheit), S.11

[6] www.funkschau.de

[7] vgl. www.www-kurs.de

[8] www.bmwi.de

[9] Tim Cole (Managementaufgabe Sicherheit), S.19

[10] Tim Cole (Managementaufgabe Sicherheit), S.19

[11] Tim Cole (Managementaufgabe Sicherheit), S.19

[12] vlg. www.idc.com

[13] www.competence-site.de

[14] www.competence-site.de

[15] vgl. Othmar Kyas (Sicherheit im Internet), S.29

[16] vgl. Tim Cole (Managementaufgabe Sicherheit), S.23

[17] www.bmwi.de

[18] www.bmwi.de

Details

Seiten
24
Jahr
2002
ISBN (eBook)
9783638162395
ISBN (Buch)
9783638641135
Dateigröße
977 KB
Sprache
Deutsch
Katalognummer
v9574
Institution / Hochschule
Hochschule für angewandte Wissenschaften Kempten – Betriebswirtschaft
Note
1
Schlagworte
E-Security Trojaner Viren Firewall Würmer Gefahren Software Virenscanner Verschlüsselung PGP

Autor

Teilen

Zurück

Titel: E-Security - Überblick über Risiken und Gegenmaßnahmen