Projektarbeit im anwendungsorientierten Schwerpunkt Handel des Studienganges Wirtschaftsinformatik RISIKEN, RECHTLICHE RAHMENBEDINGUNGEN UND IT-SICHERHEIT VON EBUSINESSANWENDUNGEN eingereicht bei: Prof. Dr. Ginnold am: 16.01.2003 von: Heiko Bräseke (0403656) Crispin Hartmann (0373725) Risiken, rechtliche Rahmenbedingungen und IT-Sicherheit für eBusiness-Anwendungen 1. 1.1 1.2 1.3 1.4 RISIKEN FÜR EBUSINESS-ANWENDUNGEN ........................... 4 EINLEITUNG ............................................................................. 4 BETRIEBSWIRTSCHAFTLICHE RISIKEN ............................................... 5 TECHNISCHE RISIKEN ................................................................. 6 MENSCHLICHES FEHLVERHALTEN ..................................................... 7 2. RECHTLICHE RAHMENBEDINGUNGEN FÜR EBUSINESSANWENDUNGEN ............................................................................. 9 2.1 RELEVANTE GESETZE .................................................................. 9 2.1.1 Fernabsatzgesetz (FernAbsG) .......................................... 10 2.1.2 Fernunterrichtsschutzgesetz (FernUSG) ............................ 11 2.1.3 Informations- und Kommunikationsdienstegesetz (IuKDG) .. 11 2.1.3.1 Gesetz zum elektronischen Geschäftsverkehr (EGG) ..... 11 2.1.3.2 Teledienstegesetz (TDG) ........................................... 11 2.1.3.3 Teledienstedatenschutzgesetz (TDDSG) ....................... 11 2.1.3.4 Signaturgesetz (SigG) ............................................... 12 2.1.3.5 Signaturverordnung (SigV) ........................................ 12 2.1.3.6 Gesetz zum Schutz von zugangskontrollierten Diensten und von Zugangskontrolldiensten (ZKDSG) ................................ 12 2.1.4 Urheberrecht ................................................................. 13 2.1.5 Kennzeichenrecht ........................................................... 13 2.1.6 Wettbewerbs- und Werberecht ......................................... 13 2.2 RECHTLICHE GRUNDLAGEN.......................................................... 14 2.2.1 Vertragsform ................................................................. 14 2.2.2 Problematiken im eBusiness ............................................ 14 2.3 ANFORDERUNGEN AN ELEKTRONISCH GESCHLOSSENE VERTRÄGE .............. 15 2.3.1 Archivierung von Dokumenten ......................................... 16 2.4 WEITERE WICHTIGE RECHTSRAHMEN, GESETZE, VERORDNUNGEN UND RICHTLINIEN .................................................................................. 16 2.4.1 Rechtsrahmen für E-Commerce........................................ 16 2.4.2 Rechtsrahmen für E-Signatur ........................................... 16 2.4.3 Rechtsrahmen für IuK-Datenschutzgesetz ......................... 17 2.4.4 Rechtsrahmen zum Schutz vor illegalen Netzinhalten .......... 17 2.4.5 EU-Recht....................................................................... 17 3. IT-SICHERHEIT FÜR EBUSINESS-ANWENDUNGEN ............... 19 3.1 GRUNDLAGEN UND ZIELE FÜR SICHERHEIT IN EBUSINESS-ANWENDUNGEN .. 19 3.2 ANSATZPUNKTE FÜR SICHERHEIT IM EBUSINESS ................................. 21 3.3 AUSGEWÄHLTE METHODEN UND VERFAHREN FÜR SICHERHEIT VON EBUSINESSANWENDUNGEN ............................................................................... 22 3.3.1 Symmetrische und Asymmetrische (Public-Key-Verfahren) Verschlüsselung ........................................................................ 22 3.3.2 Hybride Verschlüsselungsverfahren .................................. 23 3.3.3 Wahrung der Integrität durch Hash-Werte ......................... 24 3.3.4 Digitale Signatur ............................................................ 25 3.3.5 Authentifizierung der Benutzer ......................................... 25 3.3.6 Autorisierung der Benutzer .............................................. 26 3.3.7 Secure Socket Layer (SSL) .............................................. 27 Bräseke, Hartmann Seite 2 von 30 16.01.2003 Risiken, rechtliche Rahmenbedingungen und IT-Sicherheit für eBusiness-Anwendungen 3.3.8 Homebanking Computer Interface (HBCI) ......................... 28 3.4 RESÜMEE .............................................................................. 29 4. QUELLEN ............................................................................. 30 Bräseke, Hartmann Seite 3 von 30 16.01.2003 1. Risiken für eBusiness-Anwendungen 1. Risiken für eBusiness-Anwendungen 1.1 Einleitung In der heutigen Zeit, wo das eBusiness immer mehr an Bedeutung gewinnt, wird es immer wichtiger, sich vor diversen Risiken zu schützen. Also muss man sich die Frage stellen, was Risiken eigentlich sind und woraus sie entstehen können. In der folgenden Grafik kann man sehen, aus welchen Faktoren sich Risiken im eBusiness zusammensetzen. Quelle: http://www.ifi.unizh.ch/staff/bauknecht/vortrag/Uni_Linz/roehrig-damm.pdf Risiken entstehen aus ungenügender Sicherheit. Für eBusiness Anwendungen gibt es deshalb eine Reihe von rechtlichen Rahmenbedingungen, die darauf abzielen, das elektronische Geschäft abzusichern. Dazu wird im Bereich rechtliche Rahmenbedingungen detailliert eingegangen. Einige Beispiele für eBusiness-Anwendungen, die von den Risiken betroffen sein können, sind E-Shops, E-Banking, E-Mail, E-Commerce, EProcurement und viele mehr. Zu einer groben Einteilung der Risiken im eBusiness zählen im allgemeinen betriebswirtschaftliche und technische Risiken, sowie menschliches Fehlverhalten. In Bezug auf die betriebswirtschaftlichen Risiken sind vor allem Umsatzeinbußen, Imageschädigung, höhere interne Kosten, Konventionalstrafen und Rechtsunsicherheit zu nennen. Aber auch menschliches Fehlverhalten, wie mangelndes Sicherheitsbewusstsein, unbewusstes Fehlverhalten, Sabotage, Spionage und technische Risiken, wie Datenvernichtung, Datendiebstahl, Datenmanipulation und technischer Ausfall(Hardwareausfall) gehören zu den Hauptrisiken. Man kann sagen, dass durch die Risikogruppen menschliches Fehlverhalten und technische Risiken oft die betriebswirtschaftlichen Risiken hervorgehen. Bräseke, Hartmann Seite 4 von 30 16.01.2003 1. Risiken für eBusiness-Anwendungen Obwohl es so zahlreiche Risiken zu nennen gibt, gibt es bisher keine bzw. nur wenige Aufsichts- oder Kontrollinstanzen, die vor den Gefahren durch äußeren Einfluss schützen. 1.2 Betriebswirtschaftliche Risiken Betriebswirtschaftliche Risiken für eBusiness-Anwendungen können wie schon erläutert sehr unterschiedlich sein. Sie können dabei verschiedene Ursprünge haben. Betrachtet man Beispielsweise den Umstieg auf eBusiness-Anwendungen, so kann es vorkommen, dass es zunächst mal zu Umsatzeinbußen kommen kann, weil nicht alle Kunden der Technologie folgen wollen oder gar nicht können. Auch die mit den Anwendungen verbundenen Kosten, wie Hardware und Software können zu einem Risiko werden, wenn die Investition nicht den gewünschten Erfolg bringt und damit zu einem Fehlkauf für ein Unternehmen wird. Große Risiken bürgen auch die rechtlichen Rahmenbedingungen, denn durch häufige Unkenntnis, was die zahlreichen Gesetze (Beitrag rechtliche Rahmenbedingungen) betrifft, kommen Unternehmen oft in Schwierigkeiten. Einige Beispiele sind Signaturgesetz, Urheberrechtgesetz und Teledienstgesetz. Als letztes soll noch die Imageschädigung angeführt werden. Im eBusiness wird das Internet genutzt, um ein Unternehmen zu präsentieren. Wenn der Webauftritt aber nicht sorgfältig durchdacht und geplant wird, kann es passieren, dass er zum Risikofaktor wird. Da die Online-Zeit, die ein Internet-Nutzer hat, eine wertvolle Ressource ist, wird er sie auch effektiv nutzen wollen. Wenn beispielsweise mal eine negative Erfahrung gemacht wurde bei einem Einkauf im Internet, dann wird man sicherlich diesen Anbieter kaum noch aufsuchen. Es bleibt einzig eine negative Erfahrung im Gedächtnis zurück. Das Image hat in diesem Falle sehr gelitten. Weitere Gründe für betriebswirtschaftliche Risiken entstehen auch unterschiedlichen Risiken der Gruppen menschliches Fehlverhalten und technische Risiken. Bräseke, Hartmann Seite 5 von 30 16.01.2003 1. Risiken für eBusiness-Anwendungen 1.3 Technische Risiken Die häufigsten Risiken dieser Gruppe sind wie schon erwähnt Datenmanipulation, Datenverlust, Datendiebstahl und technischer Ausfall . Es gibt unterschiedliche Möglichkeiten wie es zu diesen Risiken kommen kann. Zum einen gibt es da die sogenannten Hacker, die versuchen eBusinessLösungen von außen (außerhalb des eigenen Netzwerkes) zu hacken. Hacken wird mit der steigenden Verfügbarkeit von Werkzeugen immer leichter, wie die folgende Grafik zeigt. Quelle: Risikoanalyse-SAP-AT-Ost.pdf auf Homepage bei Prof.Dr.Ginnold Die Auswahl der Werkzeuge wird von Jahr zu Jahr umfangreicher und auch intelligenter, so dass Hacker kaum noch Wissen übers eigentliche Hacken brauchen. Im folgenden werden einige Tools kurz erläutert. Programme wie Viren, die durch Download, per E-Mail oder durch ähnliches auf den Computer gelangen, können Datenbestände manipulieren oder sogar löschen. In der Vergangenheit haben Viren oft großen Schaden angerichtet. Als wohl bekanntester Vertreter dieser Gattung zählte der „I-love-you“ Virus. Eine verdeckte Art, Opfer eines Hackerangriffes zu werden, wird mit Trojanische Pferde erreicht. Diese können, wenn sie erst mal auf dem Computer aktiv sind, Hintertüren für unerwünschte Besucher öffnen ohne dass man selbst etwas davon mitbekommt. Solche Programme kommen meist auch per E-Mail oder durch Downloads auf den Computer und wird mit dem Start dieser Datei gestartet. Damit ist dann der Weg für Hacker geebnet, um Daten zu vernichten, zu verändern, zu stehlen oder auch auszuspionieren. Diese verdeckten Programme sind Bräseke, Hartmann Seite 6 von 30 16.01.2003 1. Risiken für eBusiness-Anwendungen auch oft in anderen Programmen versteckt, die dann auch Wirtsprogramme genannt werden. Als letztes möchte ich Denial-of-Service Attacken anführen, denn damit können Hacker mit gezielten Angriffen beispielsweise Webserver lahm legen, die Internetpräsenz von Unternehmen manipulieren, auf Server gespeicherte Daten von Kunden oder ähnliches missbrauchen oder Webangebote (Dienstleistungen) unberechtigt in Anspruch nehmen. Oft ist Unternehmen nicht klar, dass viele Probleme bzw. Risiken auch hausgemacht werden. Hierzu zählen technische Defekte, Irrtümer, Fahrlässigkeit, Fehler von Mitarbeiter und vieles mehr. Aber auch nicht kompatible Anwendungen oder Schnittstellen sowie die teilweise hochkomplexen IT-Systeme können die Zuverlässigkeit dieser Systeme beeinträchtigen. Besonders an die Schnittstellen für eBusiness-Anwendungen werden hohe Anforderungen an Standards, wie zum Beispiel EDI gestellt. Kompatible Schnittstellen zu anderen Marktteilnehmern sind zwingend notwendig, um geschäftsfähig zu sein. Aber auch durch veraltete Techniken sind Performanceprobleme bzw. Hardwareausfälle vorprogrammiert und vor allem eBusiness-Anwendungen sind Sicherheitsrisiken ausgesetzt. Durch den Ausfall des IT-Systems können derart hohe Kosten entstehen, dass die Existenz des Unternehmens gefährdet werden könnte(betriebswirtschaftliche Risiken). 1.4 Menschliches Fehlverhalten Die Risiken, die hier etwas näher erläutert werden sollen sind mangelndes Sicherheitsbewusstsein, unbewusstes Fehlverhalten, Sabotage, Spionage eBusiness-Anwendungen sind durch verschiedene Sicherheitsmechanismen gegen unbefugten Zugriff gesichert. Aber im Unternehmen sind diese Maßnahmen den Mitarbeitern oft lästig oder ihnen fehlt einfach das nötige Sicherheitsbewusstsein für die Sicherheit. So kommt es oft vor, dass Mitarbeiter beispielsweise Passwörter oder Zugangsdaten an ihren Bildschirm kleben. Dieser sorglose Umgang mit den Sicherheitsvorkehrungen ist den Mitarbeitern oft nicht bewusst. Große Probleme gibt es auch bei der Kommunikation bzw. Datenübertragung im eBusiness. Wenn man von Datenübertragung im Internet spricht, ist allen klar, dass man z.B. von E-Mail oder Online-Shopping spricht. Häufig geht es dabei um sensible oder persönliche Daten, die nicht für Dritte bestimmt sind. Jedoch ist nicht allen klar, dass elektronische Post auch viele Gefahren durch „Lauscher“ birgt. Die Technik ist heutzutage schon so ausgereift, dass man ohne große Probleme Post mitlesen, verändern oder sogar aufhalten kann. An dieser Stelle sind Sicherheitsmechanismen wie Verschlüsselungsprogramme unumgänglich, wenn mit vertraulichen Informationen agiert wird. Und obwohl diese schon fast überall zur Verfügung stehen, werden sie dennoch nicht immer eingesetzt Bräseke, Hartmann Seite 7 von 30 16.01.2003 1. Risiken für eBusiness-Anwendungen Weiterhin muss im eBusiness die Identifikation sichergestellt werden. Was ist mit Identifikation eigentlich gemeint? Bei E-Mails oder Webseiten im Internet ist nicht immer klar, wer sich dahinter verbirgt. Zum Beispiel durch das fälschen von Absenderangaben bei E-Mails kann die Identität der eigentlichen Person durch eine falsche E-Mail verborgen werden. Die beste Möglichkeit diesem Problem entgegenzuwirken, ist das einsetzen der digitalen Unterschrift. Als letztes sind da noch die Spionage- und Sabotagerisiken zu nennen. Spione gehen ähnlich wie Hacker oder andere Angreifer vor. Ihr Ziel ist es meistens wichtige Unternehmensdaten unbemerkt auszuspähen, um Wettbewerbsvorteile zu erlangen. Dabei nutzen sie alle Angriffspunkte von eBusiness-Anwendungen, wo sie ihr Ziel erreichen können. Viele davon wurden bereits genannt. Spione müssen es aber nicht einmal immer schwer haben ins Netzwerk einzudringen. Oft waren diese selbst einmal Mitarbeiter desselben Unternehmens und so kann es vorkommen, dass alte Passwörter nicht gleich gelöscht werden oder gar vergessen werden zu löschen(mangelndes Sicherheitsbewusstsein). Gleiches trifft auch für Saboteure zu. Saboteure handeln aber aus anderen Zielen heraus. Da wäre zum einen das Motiv der Rache, das darauf abzielt, mutwillig Schaden zuzuführen. Als weitere Motive kann man das Schaffen von Vorteilen gegenüber anderer Mitarbeiter nennen oder einfach die persönliche Bereicherung am Unternehmen. Bräseke, Hartmann Seite 8 von 30 16.01.2003 2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen 2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen Die zunehmende Bedeutung von eBusiness in Zeiten anhaltender Rezession und steigenden Kosten für Personal, Raum und Material erfordert eine ebenso klare, rechtskräftige und verbindliche Abwicklung wie bei den klassischen Geschäftsformen. 2.1 Relevante Gesetze Die grundlegenden Rahmenbedingungen für ordentliche Geschäftstätigkeiten geben unter Kaufleuten das HGB, zwischen Kaufleuten und Privatleuten bzw. unter Privatleuten das BGB vor. Mit der Schuldrechtsreform, die seit dem 01.01.2002 in Kraft getreten ist, erfährt das BGB die umfassendsten Änderungen seit seinem bestehen. Betroffen davon ist vor allem das Vertragsrecht, was auch direkt Auswirkungen auf das eBusiness und deren Anwendungen besitzt. So wurde unter anderem mit der Hinzunahme des § 312 e die „Pflichten im elektronischen Geschäftsverkehr“ geregelt. Neu geregelt bzw. zusätzlich aufgenommen wurden auch die folgenden Themengebiete: - Vorvertragliche Informationspflichten/Regelung der „elektronischen Bestellung Vereinfachte Bereitstellung aller zum Vertragsabschluß nötigen Informationen - Vereinheitlichung / Vereinfachung der Verjährung Einheitliche Verjährungsfrist (von Ausnahmen abgesehen) für Ansprüche aus Kaufverträgen von drei Jahren - Sonderregelungen für Gewährleistung bei Kauf Verlängerung der Verjährungsfrist für Gewährleistungsansprüche von 6 Monate auf 2 Jahre - Einheitliches Leistungsstörungsrecht Bisher existierten im BGB unterschiedliche Arten der Vertragsstörung die unterschiedliche rechtliche Folgen hatten; ab nun gilt ein einheitlicher Tatbestand des Vertragsbruches, aus dem sich ebenso einheitlich genau ein Rechtsanspruch ableiten lässt - Anpassung des werkvertraglichen Gewährleistungsrechts an kaufvertragliche Gewährleistungsregelungen Bei Werkverträgen gelten nun die gleichen Rechte und Pflichten wie beim Kaufvertrag Bräseke, Hartmann Seite 9 von 30 16.01.2003 2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen Weiterführende Informationen zu den Gesetzesänderungen erhalten Sie unter: http://www.ecin.de/recht/schuldrecht/ BGB und HGB bilden somit das Fundament, auf das die den neueren Medien und Gegebenheiten angepasste Gesetze aufbauen. Dazu zählen unter anderen: Fernabsatzgesetz Fernunterrichtsgesetz Informations- und Kommunikationsdienstegesetz mit seinen Einzelgesetzen: o Gesetz zum elektronischen Geschäftsverkehr o Teledienstegesetz o Teledienstedatenschutzgesetz o Signaturgesetz o Signaturverordnung o Gesetz zum Schutz von zugangskontrollierten Diensten und von Zugangskontrolldiensten Weiterhin finden auch eine Reihe traditioneller Gesetze und Vorschriften für das Internet Anwendung, z.B.: Urheberrecht Gesetz zu den allgemeinen Geschäftsbedingungen Kennzeichenrecht Wettbewerbs- und Werberecht 2.1.1 Fernabsatzgesetz (FernAbsG) Das Fernabsatzgesetz findet Anwendung bei Verträgen über die Lieferung von Waren oder Dienstleistungen zwischen Kaufleuten und Privatpersonen. Inhalt dieses Gesetzes sind die Regelungen zur Unterrichtung des Verbrauchers über die Identität des Vertragspartners bei Anbahnung und Abschluss von Fernabsatzverträgen, zu Widerruf- und Rückgaberecht, zu Produktbestandteilen und –eigenschaften, der Preise und Konditionen, sowie zu Rechten, Pflichten und Fristen bei finanzierten Verträgen. Das Gesetz kommt ausschließlich bei Verträgen zum Tragen, bei denen die Vertragsanbahnung sowie der Vertragsabschluss ausschließlich über Fernkommunikationsmittel erfolgt ist. Mit Wirkung vom 01.01.2002 ist dieses Fernabsatzgesetz vollständig Bestandteil des BGB (§ 312a ff.). Weitere Informationen zu diesem Gesetz erhalten Sie unter: http://www.weinknecht.de/ojr/gesetze/fernabsg.htm#FernAbsG http://www.fernabsatzgesetz.de http://www.rechtspraxis.de/fernabsatzgesetz.htm Bräseke, Hartmann Seite 10 von 30 16.01.2003 2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen 2.1.2 Fernunterrichtsschutzgesetz (FernUSG) Diese Gesetz findet Anwendung bei Verträgen, die die entgeltliche Vermittlung von Kenntnissen und Fähigkeiten zum Ziele haben. Voraussetzung hierbei ist, dass Lehrender und Lernender ausschließlich oder überwiegend räumlich getrennt sind. Den vollständigen Gesetzestext finden sie unter: http://jurcom5.juris.de/bundesrecht/fernusg/index.html 2.1.3 Informations- und Kommunikationsdienstegesetz (IuKDG) Das IuKDG vereint mehrere Gesetze miteinander. Im nachfolgenden werden diese Gesetze kurz vorgestellt. 2.1.3.1 Gesetz zum elektronischen Geschäftsverkehr (EGG) Ziel dieses Gesetzes ist es, einheitliche wirtschaftliche Rahmenbedingungen für die verschiedenen Nutzungsmöglichkeiten der elektronischen Informations- und Kommunikationsdienste zu schaffen. Dieses Gesetz wurde am 20. Dezember 2001 im Bundesgesetzblatt (BGBI) Teil I auf Seite 3721veröffentlicht. 2.1.3.2 Teledienstegesetz (TDG) Ziel dieses Gesetzes ist es, einheitliche und grundlegende Rahmenbedingungen für das Wirtschaftswachstum der Informations- und Kommunikationsdienstleistungen zu schaffen. Es vereint Bestimmungen für Online-Dienstleistungen und regelt insbesondere die Grundlagen der Haftung für Inhalte. Davon betroffen sind vornehmlich Anbieter von Informationen selbst (sogenannte Content Provider), Service Provider als Anbieter (z.B. von Web Space) für Content Provider sowie Anbieter von Zugängen zu fremden Inhalten (z.B. durch Links), sogenannte Access Provider. Als problematisch stellt sich dabei immer noch die genaue Definition des Begriffes „Inhalt“ dar. Auch eine Trennung zwischen fremden und eigenen Inhalt ist nicht einfach und bietet immer noch Raum für subjektive Auslegungen. 2.1.3.3 Teledienstedatenschutzgesetz (TDDSG) Das TdDsG befasst sich mit der Regelung über den Umgang mit personenbezogenen Daten. Dabei versucht es, den hohen Standard der Datensicherheit auch bei Nutzung neuer Medien oder Dienstleistungen zu wahren. Das Gesetz geht im Interesse des Verbrauchers von der stringentesten Form des Schutzes aus: Es dürfen grundsätzlich nur so wenig personenbezogene Daten wie nötig gespeichert und / oder verarbeitet werden. Dabei muss jede Person, die von dieser Speicherung oder Bräseke, Hartmann Seite 11 von 30 16.01.2003 2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen Verarbeitung seiner persönlichen Daten betroffen ist, ausdrücklich und in jedem Fall erneut zustimmen. Die Einschränkungen über Dauer und Zweck der Speicherung, Art und Umfang der Verwendung sowie der Informationspflicht seitens des Datenhalters finden hier auch Berücksichtigung. 2.1.3.4 Signaturgesetz (SigG) Das Signaturgesetz wurde auf Grundlage der EU-Richtlinie für „gemeinschaftliche Rahmenbedingungen zum Einsatz elektronischer Signaturen“ geschaffen. Ziel des Gesetzes ist es, diese Rahmenbedingungen, die die juristische Grundlage für den Gebrauch digitaler Signaturen darstellen, zu manifestieren und damit eine sichere Kommunikation zu gewährleisten, die Identität der am Datenaustausch beteiligten Personen sicherzustellen sowie die Authentizität der übermittelten Dokumente zu garantieren. Zur gesicherten Festlegung der digitalen Signatur als Gütekriterium befasst sich das Signaturgesetz auch mit der Definition der Anforderungen an technische Systeme und des Ablaufes zur Registrierung und Überwachung der erforderlichen Infrastruktur. Es schreibt allerdings nicht vor, wie die besonderen technischen Prozeduren der Signatur abzulaufen haben. 2.1.3.5 Signaturverordnung (SigV) Ziel dieser Verordnung ist es, die erforderlichen Ausführungsbestimmungen zum Signaturgesetz zu beschreiben. Dabei bleibt der Raum für innovative Lösungen bestehen, da sie wie das Gesetz nur Zielvorgaben enthält. Sichere Signaturen im Sinne §1 Abs. 1 des Signaturgesetzes werden durch Regelungen gewährleistet. Nicht Regelungsgegenstand der Verordnung sind technischen Standards und betriebliche Abläufe bei der Erzeugung und Prüfung dieser Signaturen. Der Unterschied von Gesetz und Verordnung liegt darin, dass ein Gesetz auf Dauerhaftigkeit angelegt ist, während eine Verordnung als Ausgestaltung eines Gesetzes sich je nach den Erfahrungen, die man mit der Praxis des Gesetzes macht, verändern kann. 2.1.3.6 Gesetz zum Schutz von zugangskontrollierten Diensten und von Zugangskontrolldiensten (ZKDSG) Ziel dieses Gesetzes ist es, Zugangskontrolldienste gegen unerlaubte Eingriffe zu schützen. Mit zugangskontrollierte Dienste sind Rundfunkdarbietungen, Teledienste und Mediendienste im Sinne von §2 der jeweiligen Gesetze, die aber unter der Voraussetzung eines Entgelts erbracht werden müssen. Des weiteren dürfen sie nur unter Verwendung eines Zugangskontrolldienstes genutzt werden. Zugangskontrolldienste sind technische Verfahren oder Vorrichtungen. Bräseke, Hartmann Seite 12 von 30 16.01.2003 2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen Veröffentlicht wurde dieses Gesetz am 22. März 2002 im BGBI Teil I Nr. 19 Seite 1090 und trat direkt nach Verkündung in Kraft. Den gesamten Gesetzestexte erhalten Sie unter: http://www.online-recht.de/vorges.html?IuKDG oder http://www.iukdg.de/ 2.1.4 Urheberrecht Vor allem die Verwendung von Hyperlinks unter Berücksichtigung des Urheberrechtes ist unter Juristen umstritten. Weiterhin sind folgende Themen Bestandteile des Gesetzes: Urheberrechtlich schützbare Leistungen (Bsp.: Definition „Urheber“) Vervielfältigungs- und Bearbeitungsrecht Verbreitungs- und Senderecht Anwendbares Recht (Bsp.: für welches Land sind welche Lizenzen bestimmt) Einsicht in den Gesetzestext können Sie unter: http://transpatent.com/gesetze/urhg.html nehmen. 2.1.5 Kennzeichenrecht Der Schutz und die Vereinbarung von Bestimmungen zu Marken und Namen, insbesondere zu Themen wie: Zeichenverwendung in Domänennamen Inhalte und Darstellung von Homepages Verwendung von Hyperlinks Sind die Inhalte des Kennzeichenrechtes. 2.1.6 Wettbewerbs- und Werberecht Im wesentlichen geht es im Wettbewerbs- und Werberecht um folgende Themen: Unaufgeforderte Zusendung von Werbung Detaillierte Auspreisung der angebotenen Waren und Dienstleistungen (insbesondere der Steuern, Versicherungen, etc.) Detailgrad, Inhalt und Eindeutigkeit der Werbeaussage Klare Trennung von Werbung und journalistischer Information - Bräseke, Hartmann Seite 13 von 30 16.01.2003 2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen 2.2 Rechtliche Grundlagen 2.2.1 Vertragsform Nur in Ausnahmefällen bedarf ein Vertragsabschluss der schriftlichen Form. Grundsätzlich besteht die sogenannte Formfreiheit. Ausnahmen davon sind z.B. Schuldanerkenntnisse, Bürgschaftsverträge, Kreditgeschäft, etc. Zur Durchsetzung der eigenen Interessen (im Falle eventueller Rechtsstreitigkeiten) sollte aber darauf geachtet werden, dass die vereinbarte Formfreiheit genügend Rechtsverbindlichkeit zulässt und eine lückenlose Dokumentation des Vorganges ermöglicht. 2.2.2 Problematiken im eBusiness Zugangsproblematik Eine elektronische Willenserklärung (per E-Mail) stellt juristisch eine Willenserklärung unter Abwesenden dar Diese wird erst dann wirksam, wenn sie dem Adressaten zugeht. (§130 Abs.1 BGB) Obliegenheitspflicht Wer mit der Einrichtung eines elektronischen Briefkastens und Veröffentlichung der geschäftlichen Korrespondenzadresse den geschäftlichen Verkehr eröffnet hat, ist auch zur regelmäßigen Kontrolle des Briefkastens verpflichtet Der Zugang ist erfolgt, wenn sie in den Machtbereich des Empfängers gelangt, d.h. wenn der Vertragspartner unter gewöhnlichen Umständen von ihr Kenntnis nehmen kann. Der Absender im elektronischen Geschäftsverkehr darf darauf vertrauen, dass seine Nachricht innerhalb der üblichen Geschäftszeiten, spätestens am folgenden Vormittag vom Empfänger zur Kenntnis genommen wird. Auch im Falle technischer Störungen (z.B. beim Provider) gilt die Willenserklärung als zugegangen, da der Empfänger für die einwandfreie Funktion des Accounts Sorge zu tragen hat. Bei der postalischen Übermittlung von Erklärungen gelten diese als zugegangen, wenn sie in den Einflussbereich des Empfängers gelangen. Dies ist regelmäßig bei Einwurf in den Briefkasten. Quelle: vgl. http://www.fh-wedel.de/~sw/data/Kurs_e-Business_RS_0601_RS_I.PDF, Seite 21 Problematisch im eBusiness stellt sich auch die Umsetzung des Gesetzes für die allgemeinen Geschäftsbedingungen (AGB) dar. Die Art und Weise der Darstellung dieser AGB eines Internetanbieters im World Wide Web ist bisher noch nicht verbindlich geregelt. Wie also kann sichergestellt werden, dass die zum Zeitpunkt des Vertragsabschlusses geltenden Regelungen gelesen, anerkannt und nicht nachträglich geändert wurden? Ein vielversprechender Lösungsansatz stellt hierbei die Anwendung der digitalen Unterschrift (Signatur) dar. Bräseke, Hartmann Seite 14 von 30 16.01.2003 2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen 2.3 Anforderungen an elektronisch geschlossene Verträge Die Mindestanforderungen (im Falle eines Rechtsstreites) an elektronisch geschlossene Verträge sind: Authentizität der elektronisch erstellten Dokumente Die Echtheit der Dokumente nach Vertragsabschluss muss gewährleistet sein. Integrität der elektronisch erstellten Dokumente Die Manipulation (Veränderung oder Ergänzung) oder der Verlust der Daten nach der elektronischen Übermittlung muss ausgeschlossen werden können. Authentizität der beteiligten Vertragspartner Die am Vertragsabschluss beteiligten Parteien müssen durch sichere Identifikation nachweisen können, dass sie auch die natürlichen oder juristischen Personen sind, die sie vorgeben zu sein. Nachweisbarkeit des elektronisch abgewickelten Vertrages Keine der an der am Vertragsabschluss beteiligten Parteien darf in der Lage sein, die Übertragung von rechtsverbindlichen Willenserklärungen o.ä. zu bestreiten oder anzuzweifeln. Diesen Anforderungen können verschiedene Einzelverfahren oder die Kombination dieser Verfahren gerecht werden: Digitale Unterschrift: asymmetrisch kryptographische Verfahren; (digitale Signatur) es gibt mindestens zwei unterschiedliche Schlüssel zum chiffrieren und zum dechiffrieren eines Klartextes Quelle: http://www.security-messe.hisolutions.com/documentpool/download/hisecure_whitepaper_de.pdf Prüfsummenverfahren das fertige Vertragsdokument wird mit einer eindeutigen Prüfsumme versehen; minimale Änderungen am Dokument verändern auch die Prüfsumme Bräseke, Hartmann Seite 15 von 30 16.01.2003 2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen 2.3.1 Archivierung von Dokumenten Papierdokumente werden zur besseren Archivierung immer häufiger elektronisch verarbeitet. Dies geschieht durch Digitalisieren mittels Einscannen. Da durch die Digitalisierung der Dokumente eine unerlaubte Nachbearbeitung wesentlich einfacher geschehen kann und damit die Beweiskraft solcher Dokumente vor Gericht nahezu null ist, müssen diese digital signiert werden. Diese digitale Signatur sollte aber nicht unbegrenzt gelten, da durch die fortwährende Entwicklung der Computertechnik die Sicherheit der verwendeten Schlüssel der Signatur für die Zukunft nicht dauerhaft gewährleistet werden kann Der Gesetzgeber sieht außerdem vor, dass die elektronisch archivierten Dokumente mit der digitalen Signatur mit zeitgemäßen Mitteln innerhalb einer angemessenen Zeitdauer angezeigt werden können. 2.4 Weitere wichtige Rechtsrahmen, Gesetze, Verordnungen und Richtlinien 2.4.1 Rechtsrahmen für E-Commerce Elektronischer Geschäftsverkehr-Gesetz(EGG) Teledienstegesetz (TDG) Mediendienstestaatsvertrag (MDStV) Zugangskontrolldiensteschutzgesetz (ZKDSG) Bürgerliches Gesetzbuch (BGB) §312 e Verordnung über Informationspflichten im bürgerlichen Recht § 13 Unterlassungsklage-Gesetz § 1031 Zivilprozeßordnung 2.4.2 Rechtsrahmen für E-Signatur Drittes Gesetz zur Änderung verwaltungsverfahrensrechtlicher Vorschriften – In Kraft getreten 2002 Bündnis für elektronische Signaturen Gesetz über Rahmenbedingungen für elektronische Signaturen (SigG) Signaturverordnung (SigV) Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Rechtsvorschriften des modernen Rechtsgeschäftsverkehr Gütesiegel für elektronische Signatur Bräseke, Hartmann Seite 16 von 30 16.01.2003 2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen 2.4.3 Rechtsrahmen für IuK-Datenschutzgesetz Teledienstedatenschutzgesetz (TDDSG) Telekommunikationsgesetz (TKG) Telekommunikations-Datenschutzverordnung (TDSV) Bundesdatenschutzgesetz (BDSG) 2.4.4 Rechtsrahmen zum Schutz vor illegalen Netzinhalten Jugendmedienschutzstaatsvertrag (JMStV) Gesetz über die Verbreitung jugendgefährdender Schriften und Medieninhalten (GjS) Jugendschutzgesetz (JuSchG) – voraussichtliches Inkrafttreten der Änderungen am 01.04.2003 Gesetz zum Schutze der Jugend in der Öffentlichkeit (JÖschG) 2.4.5 EU-Recht E-Commerce Richtlinie(ECRL): Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 08. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt ("Richtlinie über den elektronischen Geschäftsverkehr") Zugangskontrolldienste-Richtlinie: Richtlinie 98/84EG des Europäischen Parlaments und des Rates vom 20. November 1998 über den rechtlichen Schutz von zugangskontrollierten Diensten und von Zugangskontrolldiensten Richtlinie 98/48/EG des Europäischen Parlaments und des Rates vom 20. Juli 1998 zur Änderung der Richtlinie 98/34/EG über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13.Dezember 1999 Für gemeinschaftliche Rahmenbedingungen für elektronische Signaturen Richtlinie 95/46 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr Richtlinie 97/66 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation Bräseke, Hartmann Seite 17 von 30 16.01.2003 2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen Richtlinie 02/58 des Europäischen Parlaments und des Rates über die Behandlung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der elektronischen Kommunikation Internet Action Plan European Commission – Legal Advisory Board: Legal Aspects of Computer-Related Crime of Information Society Bräseke, Hartmann Seite 18 von 30 16.01.2003 3. IT-Sicherheit für eBusiness-Anwendungen 3. IT-Sicherheit für eBusiness-Anwendungen Sicherheit bedeutet im allgemeinen Sprachgebrauch und per Definition durch den Duden den „Zustand des Unbedrohtseins, der sich objektiv im Vorhandensein von Schutzeinrichtungen bzw. im Fehlen von Gefahrenquellen darstellt und subjektiv als Gewissheit von Individuen oder sozialen Gebilden über die Zuverlässigkeit von Sicherungs- und Schutzeinrichtungen empfunden wird“. Wird der Fokus dieser Definition nun auf Informationen, die die Grundlage jeder eBusiness-Anwendung sind, gelegt, so ist es nun der „Zustand, in dem Daten sowohl inhaltlich und formal unverändert bleiben als auch geschützt vor unberechtigtem Zugriff sind“. 3.1 Grundlagen und Ziele für Sicherheit in eBusiness-Anwendungen Das natürliche Sicherheitsbedürfnis jedes Einzelnen ist es, welches die Begründung für das Verlangen nach Sicherheit in allen unseren Lebensbereichen liefert. Das Geschäftsleben, und somit auch das eBusiness, ist davon nicht ausgenommen. Allen eBusiness-Anwendungen, sei es Online-Shopping (klassisches B2C) mit Kreditkartenzahlung, OnlineBuchung einer Reise oder Online-Banking inklusive Online-Aktienhandel, ist gemein, dass interne Firmendaten mit Internet-Anwendungen verknüpft werden. Die nachfolgenden Grafiken zur offiziellen polizeilichen Kriminalstatistik des Bundeskriminalamtes aus dem Jahre 2002 verdeutlichen eindrucksvoll, wie groß die Bedrohung der privaten und unternehmensbezogenen Daten durch die Computerkriminalität ist. Quelle: http://www.bundeskriminalamt.de Bräseke, Hartmann Seite 19 von 30 16.01.2003 3. IT-Sicherheit für eBusiness-Anwendungen Quelle: http://www.bundeskriminalamt.de Die technischen, rechtsverbindlichen und betriebswirtschaftlichen Gründe für die Notwendigkeit der Sicherheit von eBusiness-Anwendungen liegen im Grundkonsens, dass Sicherheit die Basis für die Etablierung einer Geschäftstätigkeit bildet, in der Tatsache, dass eBusiness häufig über eine Medium (Internet) stattfindet, welches nicht speziell für diese Zwecke konzipiert wurde, ständigen Veränderungen unterliegt und an dem jeder teilnehmen kann, in der präventiven Vermeidung von Folgeschäden und in den generellen Sicherheitszielen Integrität Authentizität Vertraulichkeit Verfügbarkeit Verbindlichkeit Autorisierung Das Vertrauen des Kunden steht in direktem Zusammenhang mit seinem Sicherheitsempfinden. Somit steht und fällt die kommerzielle Erschließung des Internets durch eBusiness-Anwendungen mit dem Grad der angebotenen Sicherheit. Folgende Sicherheitsziele lassen sich für das eBusiness aus Kunden- und Anbietersicht ableiten: Bräseke, Hartmann Seite 20 von 30 16.01.2003 3. IT-Sicherheit für eBusiness-Anwendungen Kunde Bequemlichkeit Sicherheit der Datenübermittlung Wahrung der „Privatsphäre“ (persönliche Daten) Anbieter Kundenvertrauen Ansehen des Unternehmens Verfügbarkeit des Dienstes Vertraulichkeit Integrität umfassende Sicherheit der Anwendung Hieraus entsteht ein klassischer Zielkonflikt, bei dem sich die Ziele Bequemlichkeit/Komfort Sicherheit umfassende nahezu unvereinbar gegenüberstehen. Die Lösung dieses Zielkonfliktes ist häufig eine der großen Herausforderungen von eBusiness-Anwendungen. Einerseits soll die Handhabung der Software dem Ergonomieempfinden des Kunden entgegenkommen und ihn durch den Komfort an das Unternehmen binden, andererseits muss sie sicheren Schutz vor den besonderen Bedrohungen dem das eBusiness ausgesetzt ist, wie Sabotage, Vandalismus, Angriffe durch Insider, Integritätsverlust, Betrug, Diebstahl und Denial of Service-Attacken, bieten. Da Sicherheit aber nie durch Komfort in Frage gestellt werden kann und darf, wird das Hauptaugenmerk bei Softwareprodukten immer auf dem Sicherheitsaspekt liegen. 3.2 Ansatzpunkte für Sicherheit im eBusiness Die Annahme, es gebe lückenlose Sicherheit ist genauso falsch wie der Ansatz, nur eine der am elektronischen Business beteiligten Komponenten ist gefährdet und bedarf besonderer Aufmerksamkeit. Fakt ist, dass die Gesamtanwendung nur so sicher sein kann, wie die schwächste Einzelkomponente. Bräseke, Hartmann Seite 21 von 30 16.01.2003 3. IT-Sicherheit für eBusiness-Anwendungen Die kritischen Elemente innerhalb dieser komplexen Anwendungskette sind: Anbieter Web-Server Datenbank Übertragungsweg Kunde unbekanntes Routing Browser durch das WWW vom Sender zum Empfänger Frontend-Applikationen Heterogenität der Systeme verschiedener Kunden Einsatz von PushTechnologien Für jede dieser potentiellen Angriffsziele gibt es mindestens eine Lösung zur Absicherung und Herstellung grundlegender Sicherheitsanforderungen von eBusiness-Anwendungen. Anbieter: Übertragungsweg: Kunde: Firewall, Intrusion Detection / Response Systeme, DSig, etc. S-HTTP, SSL, HBCI (speziell) etc. TAN, PIN etc. 3.3 Ausgewählte Methoden und Verfahren für Sicherheit von eBusinessAnwendungen Im folgenden sollen die derzeit gebräuchlichsten und im eBusiness-Bereich angewandten Grundlagen, Methoden und Verfahren kurz vorgestellt und erläutert werden. 3.3.1 Symmetrische und Asymmetrische (Public-Key-Verfahren) Verschlüsselung Verschlüsselungen bilden den Grundbaustein derzeitiger Sicherheitslösungen im Internet. Durch die „freie“ Übertragung der Daten ist ein „Mithören“ prinzipiell für jeden Teilnehmer des Internets möglich. Der erste Ansatz besteht also darin, die ausgetauschten Informationen zu verschlüsseln. Hierfür existieren verschiedene Verfahren. Symmetrische Verschlüsselungsverfahren verwenden zum chiffrieren und dechiffrieren der Daten ein- und denselben Schlüssel. Der Schlüssel des Senders wird ebenso vom Empfänger genutzt. Daraus ergibt sich das Problem, dass jeweils zwischen zwei Teilnehmern ein eigener Schlüssel vereinbart werden muss. Bei 500 Teilnehmern sind dies z.B. 125.000 Schlüssel (500 x 500 / 2 – sofern jeder mit jedem kommunizieren möchte), deren Verwaltung einen unglaublichen Aufwand darstellen würde. Die Verteilung der Schlüssel an die jeweiligen Bräseke, Hartmann Seite 22 von 30 16.01.2003 3. IT-Sicherheit für eBusiness-Anwendungen Kommunikationspartner müsste ebenso gesichert stattfinden, um einen Missbrauch auszuschließen - ein weiteres, nahezu unlösbares Problem. Die Asymmetrische Verschlüsselung dagegen arbeitet nach dem Prinzip eines öffentlichen und eines privaten Schlüssels (Sender und Empfänger verwenden verschiedene Schlüssel – asymmetrisch). Der öffentliche Schlüssel wird hierbei auf den Klartext angewandt, der private Schlüssel auf den chiffrierten Text. Der Sender verschlüsselt die zu sendenden Daten mittels des frei zugänglichen, zentral verwalteten öffentlichen Schlüssels. Der Empfänger, und auch wirklich nur der Empfänger (bzw. der Inhaber des privaten Schlüssels) kann den Text wieder entschlüsseln – mit Hilfe seines einmaligen privaten Schlüssels. Quelle: Harper, David; Schwickert, Axel C.: Sicherheit von eBusiness-Anwendungen – Eine Fallstudie Anwendung findet diese Verschlüsselungstechnik vor allem bei „Offline“Datenübertragungen, wie eMail. Hauptgrund ist die relativ geringe Verschlüsselungsgeschwindigkeit sowie der Umstand, dass asymmetrische Verschlüsselungen das Datenvolumen der übertragenen Informationen vergrößern. 3.3.2 Hybride Verschlüsselungsverfahren Hybride Verschlüsselungen vereinen die Vorteile von symmetrischen und asymmetrischen Verschlüsselungsverfahren. Hierbei wird im Public-Key-Verfahren ein symmetrischer Sitzungsschlüssel versendet. Dieser Sitzungsschlüssel besitzt nur Gültigkeit für die Dauer einer Sitzung oder eines anderen genau definierten Zeitraumes. Der Sender generiert nach dem Zufallsprinzip einen zeitlich begrenzten symmetrischen Sitzungsschlüssel und chiffriert mit diesem die Nachricht (die zu übertragenden Daten). Anschließend wird der erstellte Bräseke, Hartmann Seite 23 von 30 16.01.2003 3. IT-Sicherheit für eBusiness-Anwendungen Sitzungsschlüssel durch den Public-Key ebenfalls chiffriert. Im dritten Schritt werden sowohl die verschlüsselte Nachricht (Daten), als auch der chiffrierte Sitzungsschlüssel an den Empfänger übertragen. Die Wiederherstellung des Sitzungsschlüssels sowie der übertragenen Daten erfolgt dann durch den Empfänger in umgekehrter Reihenfolge. Quelle: Harper, David; Schwickert, Axel C.: Sicherheit von eBusiness-Anwendungen – Eine Fallstudie Die Vorteile dieses Verfahrens liegen klar in der Vermeidung des Datenvolumens durch Anwendung der symmetrischen Verschlüsselung für die Übertragung der eigentlichen Daten sowie der einfachen Handhabbarkeit durch den Einsatz der asymmetrischen Verschlüsselung im Vorfeld der Übertragung. Dieses Verfahren findet Anwendung bei der SSL-Datenübertragung. 3.3.3 Wahrung der Integrität durch Hash-Werte Verschlüsselungen bieten zwar Schutz vor einer unberechtigten Kenntnisnahme der Daten, können aber nicht die Integrität der enthaltenen Informationen gewährleisten. An dieser Stelle setzen elektronisch erzeugte Vergleichskriterien wie das Hash-Verfahren an. Dabei wird aus einem Teil des Klartextes, genaugenommen eine in der Länge definierte Zeichenkette, ein sogenannter Hash-Wert generiert. Wird der Originaltext verändert, so ändert sich damit auch der Hash-Wert. Dieser Hash-Wert wird durch den Sender den zu übermittelnden Daten zugefügt, so dass der Empfänger durch Anwendung ein- und derselben Hash-Funktion die Unversehrtheit der empfangenen Informationen überprüfen kann. Die Bildung eines Hash-Wertes ohne eine anschließende Verschlüsselung macht insofern keinen Sinn, dass jeder die Daten abfangen, manipulieren und mit einem neuen Hash-Wert versehen kann. Bräseke, Hartmann Seite 24 von 30 16.01.2003 3. IT-Sicherheit für eBusiness-Anwendungen 3.3.4 Digitale Signatur Zur Absicherung des Hash-Wertes kommt an dieser Stelle das Public-KeyVerfahren in umgekehrter Reihenfolge zum Einsatz: Der Sender verschlüsselt den Hash-Wert mit seinem privaten Schlüssel. Jeder, der im Besitz des zugehörigen öffentlichen Schlüssels ist, kann den Hash-Wert der übertragenen Daten nach Erhalt überprüfen und damit die Integrität der Informationen kontrollieren. Diese Vorgehensweise wird als digitales Signieren bezeichnet. Quelle: Harper, David; Schwickert, Axel C.: Sicherheit von eBusiness-Anwendungen – Eine Fallstudie Die Richtigkeit des Schlüssels und deren Zugehörigkeit zum Besitzer werden in Zertifikaten der Zertifizierungsstellen (CA) manifestiert. Diese bestätigen durch digitales Signieren die Angaben des Zertifikatbesitzers und somit auch der öffentlichen und privaten Schlüssel. Größtes Anwendungsgebiet der digitalen Signatur ist derzeit DSig (Digital Signature Initiative - ein Projekt des W3C). DSig ist ein Standardisierungsvorhaben zur Etablierung der digitalen Signatur im Internet. Es wird hauptsächlich zur Signierung von ausführbarem Code (z.B. Java Applets, ActiveX, ActiveScripting, etc.) und rechtsverbindlichen Dokumenten (z.B. Preislisten, Produktbeschreibungskataloge, etc.) verwendet. Damit soll dem Anwender die Sicherheit gegeben werden, auch wirklich nur die Seite und die unverfälschten Informationen des gewünschten Ansprechpartners zu sehen bzw. dessen Applikationen / Anwendungen auszuführen. 3.3.5 Authentifizierung der Benutzer Das einfachste Verfahren zur Authentifizierung eines Benutzers ist die Verwendung und Übermittlung von Benutzerkennung und zugehörigem Bräseke, Hartmann Seite 25 von 30 16.01.2003 3. IT-Sicherheit für eBusiness-Anwendungen Passwort. Allerdings sollten dabei die Daten aus den eingangs erwähnten Gründen nicht unverschlüsselt übertragen werden. Nicht ratsam ist auch die Verwendung eines immergleichen Schlüssels zur Chiffrierung der Anmeldedaten. Hierbei kann durch einen sogenannten Replay-Angriff (Abfangen der verschlüsselten Daten und erneute Anmeldung mit verschlüsselten Daten) die Verschlüsselung ausgehebelt werden. Diese Formen der Authentifizierung finden in nahezu allen Bereichen der Informationsverarbeitung Anwendung (z.B. Mail-Account, Anmeldung an Anwendungssoftware, Internet-Zugang, eBusiness-Anwendung, etc.). Eine alternative Form der Benutzer-Authentifizierung ergibt sich aus dem Einsatz von PIN (Persönliche Identifikationsnummer) und TAN (Transaktionsnummer). Die PIN ist hierbei mit der Benutzerkennung gleichzusetzen. Die Funktion der TAN ist mit der eines Einmal-Passwortes zu vergleichen. Jeder Teilnehmer erhält eine Reihe von einmalig gültigen Transaktionsnummern zumeist in Papierform. Der Vorteil ergibt sich aus der Tatsache, dass selbst bei Abhören des Anmeldevorganges keine Rückschlüsse auf die vollständigen Anmeldedaten (durch die wechselnde Transaktionsnummer) gezogen werden können. Allerdings ergeben sich auch eine Reihe von Nachteilen: zu Gunsten der besseren Handhabbarkeit werden mehrere Transaktionen oft durch nur eine TAN zur Verarbeitung akkreditiert; Unsicherheit im Falle von Abhören Übermittlung der TANs an den Kunden aufwendig und mit Sicherheitsrisiken behaftet; Papierform dabei noch am sichersten Aufbewahrung des TAN-Blocks beim Kunden mit Risiken behaftet Authentifizierungen mit PIN und TAN werden vor allem im Bereich HomeBanking eingesetzt. 3.3.6 Autorisierung der Benutzer Integrität, Vertraulichkeit und Authentifizierung bilden die Grundlage beziehungsweise die Voraussetzungen für eine Autorisierung des Benutzers. Jeder Benutzer, der z.B. auf die Produktdaten des Herstellers mittels eProcurement zugreifen möchte, muss nach erfolgreicher Authentifizierung durch Überprüfung und Anwendung der Autorisierung in seinen Zugangs- und Zugriffsrechten auf Rechner, Programme und Daten reglementiert werden. Die vielfältigen Kriterien und Abhängigkeiten, mit Hilfe derer die Zulässigkeit einer Datenmanipulationsanforderung entschieden wird, werden in sogenannten Verzeichnisdiensten (directory services) von speziellen Servern (directory servern) vorgehalten. Bräseke, Hartmann Seite 26 von 30 16.01.2003 3. IT-Sicherheit für eBusiness-Anwendungen Client-Anfragen an diese Server werden über das Protokoll LDAP (Lightweight Directory Access Protocol) realisiert, welches auf TCP (Transmission Control Protocol) aufbaut und IP (Internet Protocol) als Transportprotokoll nutzt. LDAP zeichnet sich besonders durch einfache, zentrale und betriebssystemunabhängige Administration von Userkonten zentrale Verwaltung und Verfügbarkeit von Adresslisten aus. Jede Anwendung, jedes System, welches eine Authentifizierung der Benutzer voraussetzt, verlangt gleichzeitig nach einer Autorisierung. 3.3.7 Secure Socket Layer (SSL) Dieses Übertragungsprotokoll wurde Ende 1994 von Netscape vorgestellt und kostenlos angeboten. Ziel von SSL war es, den Anwendern möglichst einfach, ergonomisch und halbwegs verständlich die Möglichkeit zu geben, ihren Datenverkehr zu verschlüsseln. Es vereint die Verfahren zur hybriden Verschlüsselung, der digitalen Signatur sowie der Zertifikate in eigens definierten Protokollstrukturen und Prozeduren für den Austausch der notwendigen Schlüssel. Dabei erweitert SSL die Verbindungsstelle von TCP/IP und dem Verbindungsprotokoll (z.B. HTTP) um eine weitere Schicht. Zum Aufbau einer SSL-gesicherten Verbindung zwischen einem Client und einem Server bedarf es mindestens einseitig eines Zertifikates. Der genaue Ablauf ist in der folgenden Abbildung dargestellt: Quelle: Harper, David; Schwickert, Axel C.: Sicherheit von eBusiness-Anwendungen – Eine Fallstudie Bräseke, Hartmann Seite 27 von 30 16.01.2003 3. IT-Sicherheit für eBusiness-Anwendungen (1) Client teilt Server die unterstützten Verschlüsselungs- und Hashverfahren mit (2) Server bestätigt dies und überlässt Client die Auswahl (3) Server übermittelt Client das Zertifikat mit öffentlichem ServerSchlüssel (4) Client erzeugt zufälligen Sitzungsschlüssel (5) Client verschlüsselt mit dem Sitzungsschlüssel Testnachrichten und verschlüsselt abschließend den Sitzungsschlüssel mit dem öffentlichen Serverschlüssel (6) Gesamtpaket wird an Server übermittelt (7) Server entschlüsselt mit dem privaten eigenen Schlüssel den Sitzungsschlüssel des Clients (8) mit dem dechiffrierten Sitzungsschlüssel wird der Nachrichtentext entschlüsselt (9) Fragen der Nachricht werden vom Server beantwortet und mit dem Sitzungsschlüssel chiffriert (10) Übertragung der beantworteten, verschlüsselten Nachricht an Client Erst im letzten Schritt beweist der Server seine Authentizität, da nur der Inhaber des originalen, zum Zertifikat passenden privaten Schlüssel den Sitzungsschlüssel und damit den Nachrichtentext dechiffrieren konnte. Somit verwendet SSL die aufwendigeren asymmetrischen Schlüssel nur für die Authentifizierung und die Übertragung des erzeugten Sitzungsschlüssels. Die eigentliche Kommunikation wird anschließend mit dem schnelleren und schlankeren symmetrischen Schlüsselverfahren realisiert. Angewandt wird diese Form der gesicherten Datenübertragung vor allem im Bereich des Home-Bankings, der Bezahlung im Internet sowie der Übertragung von personenbezogenen Daten. 3.3.8 Homebanking Computer Interface (HBCI) HBCI basiert ebenso wie SSL auf kryptographischen Verfahren. Es ist ein Kommunikationsprotokoll der Anwendungsebene (Schicht 7 ISO/OSI-Schichtenmodell). Die Syntax dieses Protokolls ist an die Syntax von UN/EDIFACT abgelehnt. Man unterscheidet zwei verschiedene Ansätze: 1. symmetrische Verschlüsselung mittels einer Chipkarte 2. softwarebasierte asymmetrische Verschlüsselung auf Diskette Die für die Verschlüsselung eingesetzten Schlüsselpaare müssen in beiden Fällen zwischen dem Kunden und der Bank ausgetauscht werden, wobei sich hier der Vorteil der Chipkarten-Lösung zeigt. Die Schlüssel werden von der Bank generiert und auf der Chipkarte abgespeichert, welche dann dem Kunden problemlos übergeben wird. Bräseke, Hartmann Seite 28 von 30 16.01.2003 3. IT-Sicherheit für eBusiness-Anwendungen Die Softwarelösung erfordert das Engagement des Kunden. Er hat die Aufgabe, die Schlüssel zu generieren und anschließend die öffentlichen Schlüssel der Bank mitzuteilen. Weitere Vorteile der Chipkartenlösung sind die Abgeschlossenheit der kryptographischen Prozesse auf dem Chip vor der Außenwelt und die Portabilität der Karte. Nachteilig wirkt sich der Umstand aus, dass ein spezielles Kartenlesegerät für den Betrieb der Chipkarte nötig ist, wogegen die Diskettenlösung keine weiteren Anforderungen an die Hardware stellt. Die Authentifizierung des Benutzers erfolgt über eine lokale (Vergleich auf Chipkarte oder Benutzer-PC) Passwortabfrage. Der weitere Ablauf (Verschlüsselung der Daten durch Chiffrierung des generierten Sitzungsschlüssels, etc.) entspricht dem einer SSLVerbindung. Ein Sicherheitsrisiko stellt allerdings bisher noch die Tatsache dar, dass sich der HBCI-Server selbst gegenüber dem Client nicht authentifizieren muss. Eine praktische Bedeutung besitzt momentan nur die filialferne elektronische Abwicklung der Bankgeschäfte. 3.4 Resümee Trotz der ständigen Weiterentwicklung der Verschlüsselungsverfahren und immer ausgefeilteren Methoden zur Benutzer-Authentifizierung (Stichwort: biometrische Merkmale) bedroht der technische Fortschritt in Form von leistungsfähigerer Soft- und Hardware die Sicherheit heutiger und zukünftiger Systeme. Nur durch ein gemeinsames und gleichgerichtetes Sicherheitsbestreben von Forschung, Politik, Wirtschaft und Konsumenten wird es möglich sein, dem eBusiness von morgen durch Liquidation der Hindernisse der Gegenwart den Weg zu ebnen. Bräseke, Hartmann Seite 29 von 30 16.01.2003 4. Quellen 4. Quellen Risiken http://www.bmwi.de http://www.dedig.de http://www.ifi.unizh.ch/ http://www.siWan.de http://www.sercon.de Rechtliche Rahmenbedingungen http://www.bmwi.de http://www.dedig.de http://www.bundeskriminalamt.de http://www.ecin.de/recht/ http://www.weinknecht.de/ojr/gesetze/fernabsg.htm#FernAbsG http://www.fernabsatzgesetz.de http://www.rechtspraxis.de/fernabsatzgesetz.htm http://jurcom5.juris.de/bundesrecht/fernusg/index.html http://www.online-recht.de/vorges.html?IuKDG http://www.iukdg.de/ http://transpatent.com/gesetze/urhg.html http://www.fh-wedel.de/ Lehrmaterial von Herrn Prof. Dr. Ginnold IT-Sicherheit http://www.security-messe.hisolutions.com http://www.ifi.unizh.ch/ http://wi.uni-giessen.de/gi/dl/det/Schwickert/1158/ Bräseke, Hartmann Seite 30 von 30 16.01.2003