Erkenntnis - Netzsicherheit und Informationssicherheit
Seite zu Mister Wong hinzufügen Seite zu Delicious hinzufügen Seite weiterempfehlen Seite Drucken

Grundlegende Instrumente der Sicherheit im E-Commerce

Sicherheitstipp: Warum eine Firewall meist unerlässlich ist

Um sich vor unliebsamen Überraschungen im Internet zu schützen, ist die Einrichtung einer Firewall mittlerweile Pflicht. Eine Firewall ist ein System aus Software- und Hardwarekomponenten, das den Zugriff zwischen verschiedenen Rechnernetzen beschränkt, um ein Sicherheitskonzept umzusetzen. Sie schützt Ihren Computer bzw. Ihr Unternehmensnetzwerk gegenüber dem öffentlichen Raum des Internets ab und unterbindet Hacker-Angriffe, Datendiebstähle und unberechtigte Zugriffe auf Ihre Daten.

Während bei einem Einzelplatzrechner mit Modem- oder ISDN-Zugang noch eine softwarebasierte Firewall-Lösung ausreicht, sollten Sie in einem Firmennetzwerk oder bei einer Standleitung grundsätzlich eher Experten zurate ziehen und eine Hardware-Lösung bevorzugen. Die Installation wurde zwar durch technische Fortschritte in den vergangenen Jahren zunehmend einfacher, hat jedoch immer noch ihre Tücken. Beachten sollten Sie zudem die folgenden Ratschläge:

  • Installieren Sie die aktuellsten Updates und Patches für die verwendete Software (z. B. das Betriebssystem).
  • Verwenden Sie zudem einen aktuellen Virenscanner mit automatischer Update-Funktion.
  • Legen Sie Festplatten wichtiger Systeme doppelt aus, so dass Sie jederzeit über eine Sicherung verfügen.
  • Eine tägliche Datensicherung sollte Pflicht sein.
  • Bewahren Sie die Sicherungsdatenträger räumlich getrennt vom Original auf.

(Quelle: technologie-transferstelle parfümerie-einzelhandel, unter: www.tts.bundesfachschule.de, Zugriff am 2.1.2006)


Was tun, um Hacker dauerhaft auszusperren?

Die eigenen Server und das verwendete System wasserdicht zu machen, um sich vor Angriffen von Hackern zu schützen, ist heute wichtiger denn je. Hacker suchen bei einem Angriff stets nach dem schwächsten Glied in der Kette und nutzen meist frei verfügbare Software, um in einem System Schwachstellen zu finden.

Um Hacker dauerhaft auszusperren, sollten die folgenden Regeln unbedingt beachtet werden:

  • Alle Zugriffe auf den Server zunächst verbieten und dann schrittweise öffnen
  • Telnet-Protokoll sofort abschalten
  • Benutzer root deaktivieren
  • Kritische Ports lückenlos abriegeln
  • Passwörter mit Zahlen und Sonderzeichen versehen
  • Passwörter alle 30 Tage wechseln
  • Root-Server nur mit Konsolenz-Zugang
  • Wöchentliche Sicherheits-Updates
  • Tägliche Daten-Sicherungen auf ausgelagerten Systemen
  • ggf. Einsatz von Intrusion-Detection-Systemen
  • Nur so viele Rechte wie unbedingt nötig vergeben


Bei so genannten Content Management Systemen (CMS), die auf Webservern wie Apache oder dem Internet Information Server von Microsoft laufen, ist besondere Vorsicht geboten, denn diese gehören zu den beliebtesten Angriffszielen. Hier gibt es häufig Lücken, die ausgenutzt werden können, um Root-Rechte zu erhalten. Bevorzugt wird hier ein so genannter Buffer Overflow erzeugt, der dafür sorgt, dass fremder Code auf dem System eingeschleust werden kann. Es empfiehlt sich, die genutzte Software laufend zu aktualisieren.

Um eine nachhaltige Sicherheit auf den Servern zu erreichen, sind ständige Sicherheits-Updates unerlässlich. Um auf dem Laufenden zu bleiben, ist die Teilnahme an einer Security-Mailingliste wie Bugtraq von Securityfocus sehr zu empfehlen.

Bei allen kurz- oder langfristigen Maßnahmen darf nie vergessen werden: Sicherheit ist keine einmalige Aktion. Dauerhafte Sicherheit ist nur möglich, wenn umfassende Kenntnisse des verwendeten Betriebssystems sowie ein fundiertes Know-how zu Sicherheitskonzepten vorhanden ist. Eine regelmäßige Weiterbildung der System-Verantwortlichen ist daher dringend notwendig.

(Quelle: Anmann, Ralf: Access denied! In: internet WORLD. Für Internet Professionals Nr. 10/2005; S. 58-60)


Sechs Mythen über Internetsicherheit

In der Vergangenheit entstandene Mythen haben die Entwicklung der Internetsicherheit stark beeinflusst. Für Unternehmen, die eine Sicherheitsstrategie entwickeln wollen, ist es wichtig, diese Mythen zu kennen und zu verstehen.

Mythos 1: Antivirensoftware und Firewall gewährleisten ausreichenden Schutz
Im Internet tauchen ständig neue Formen der Bedrohung auf. Trojaner, Denial-of-Service-Attacken, Würmer, Pishing und Spyware können Firewalls ungehindert überwinden und der Antivirensoftware entkommen.
Auch Hacker entwickeln ständig neue Methoden, um Netzwerke unentdeckt zu attackieren. Sie greifen mehrere kleine, weniger ernste Schwachstellen gleichzeitig an, um wirksame Angriffe durchzuführen. Außerdem nutzen sie Sicherheitslücken in Dateiformaten wie JPEG, PDF, Word oder Excel für ihre Angriffe. Die Bedrohung durch Spyware und Spam-Mails kann die Verfügbarkeit der IT-Systeme stark beeinträchtigen und im schlimmsten Fall den effizienten Ablauf des Business unmöglich machen. Die Kombination von Antivirensoftware und Firewalls bietet hier keinen ausreichenden Schutz mehr. Vielmehr sind ganzheitliche Lösungen gefragt, die neben diesen Möglichkeiten auch vorbeugend schützen.

Mythos 2: Der Kostenanstieg für Internetsicherheit ist unausweichlich
Die Kosten für IT-Sicherheit haben sich laut Analysten in den vergangenen drei Jahren fast verdoppelt, während sich die gesamten IT-Budgets nur minimal verändert haben. Ein großer Teil der Kosten sind Personalkosten. Die Herangehensweise der Preemptive Protection (vorbeugender Schutz) ist eine Alternative zum Ansatz des Aufspürens, Hinterherhetzens und Patchens. Wenn Schwachstellen entdeckt werden, bevor ein Angriff erfolgt, bleibt genügend Zeit, die Sicherheitslücken zu schließen. Die Kosten für reaktive Maßnahmen lassen sich so erheblich eindämmen.

Mythos 3: Je mehr Unternehmen über die Aktivitäten in ihrem Netzwerk wissen, desto sicherer sind sie.
Werkzeuge für die IT-Sicherheit liefern Unmengen an Daten über Netzwerkaktivitäten, aber kaum sinnvoll aufbereitete Reports. Am Anfang der Internetsicherheit muss die richtige Einschätzung von Geschäftsrisiken stehen. Durch die vorherige Analyse der Risiken und in Verbindung mit ihren möglichen Effekten auf kritische Geschäftsanwendungen und -prozesse können Unternehmen ihre IT-Sicherheit priorisieren. Netzwerk- und Sicherheitsverantwortliche können ihre Ressourcen effektiver einsetzen, indem sie sich auf die Sicherheitsrisiken mit Top-Priorität konzentrieren.

Mythos 4: Industriespionage betrifft nur wenige Großunternehmen
Alle Unternehmen sind potenzielle Ziele für Industriespionage. Dies ist vor allem dann der Fall, wenn ihr Geschäftsmodell auf Neuentwicklungen basiert. 2004 gab das Institute of Directors bekannt, dass 60 Prozent der Mitglieder einen Schaden durch Informationsdiebstahl erlitten hätten. Darunter befanden sich Großkonzerne und auch KMUs. Um ihr Know-How zu schützen, müssen auch kleine und mittelständische Unternehmen über die gleichen Sicherheitslösungen verfügen können wie Großkonzerne.

Mythos 5: Netzwerkausrüster und Storage-Anbieter liefern unabhängige Sicherheit.
Netzwerkausrüster und Storage-Anbieter akquirierten oder fusionierten in der jüngsten Zeit mit Anbietern von Internetsicherheitslösungen. Ziel ist die Integration von Sicherheit in alle Netzwerk- und Storage-Komponenten, um damit alles aus einer Hand anbieten zu können. Jedoch müssen sich Unternehmen fragen, ob sie beim Kauf von Netzwerk oder Speicherlösungen auch auf die mitgelieferte Sicherheitssoftware vertrauen oder ob die Software unabhängiger Anbieter eine bessere Alternative darstellt. Die Auswahl der richtigen Sicherheitssoftware sollte für Unternehmen keine Frage des richtigen Package sein. Entscheidend ist, dass der bestmögliche Schutz für das Unternehmen gewährleistet ist.

Mythos 6: Jede Antivirensoftware wirkt auf dieselbe Art und Weise
Ein großer Teil der Antivirenprogramme sucht nach der Signatur eines Virus. Es ist jedoch zu beachten, dass Viren mutieren können. Diese Mutationen können Antivirenlösungen nicht mehr erkennen. Alternativ kann ein Virus identifiziert werden, indem versucht wird, sein Verhalten zu analysieren und ihn zu verstehen. Durch die Analyse des Verhaltensmusters lassen sich ganze Virenfamilien auf einmal eliminieren. Verhaltensbasierte Antivirenlösungen sind außerdem in der Lage, künftige Codes aufzuspüren, die die gleichen Techniken benutzen. Eine effiziente Lösung des Virenproblems ist eine Kombination von Verhaltensanalyse und Signaturerkennung.

(Quelle: Lamprecht, Jörg: Magie im digitalen Zeitalter in: e-commerce Magazin Nr. 5, (2005), S. 40-42)


Netz-

Über Risiken, Schutzbedarf und Handlungsmöglichkeiten informiert und berät der Themenschwerpunkt Netz- und Informationssicherheit. Kleine und mittlere Unternehmen sowie Handwerksbetriebe finden auf dem Portal www.ec-sicherheit.de Informationen über Netz-, System- und Informationssicherheit, Vorwarnsysteme, IT-Grundschutz, Sicherheitsstandards und rechtliche Aspekte. Acht regionale Kompetenzzentren bilden den Themenschwerpunkt, der im Rahmen des Netzwerk Elektronische Geschäftsfelder vom Bundesministerium für Wirtschaft und Technologie gefördert wird.


Zehn Regeln für einen sicheren Online-Einkauf

Der Shop-Prüfer Trusted Shops nennt zehn Regeln für einen sicheren Online-Einkauf:

  • Im Rahmen der Impressumspflicht muss auf der Shop-Seite nicht nur der Firmenname ersichtlich sein, sondern ebenfalls die Anschrift sowie weitere Daten.
  • Es muss eindeutig erkennbar sein, wann es zu einem Vertragsschluss bzw. einer verbindlichen Bestellung kommt.
  • AGBs dürfen weder zu lang noch unklar sein. Zu lange AGBs können ein Zeichen dafür sein, dass Kundenrechte unzulässig eingeschränkt werden sollen. Unklare Regelungen innerhalb der AGBs sind meist unwirksam.
  • Sämtliche anfallenden Kosten müssen klar ersichtlich sein. Es darf nicht unklar sein, wie hoch die Versandkosten ausfallen.
  • Ebenso müssen die Zahlungsbedingungen eindeutig formuliert sein. Am sichersten für den Käufer ist eine Bezahlung der Ware auf Rechung, d. h. nach Erhalt der Ware. Eine Zahlung per Kreditkarte oder per Lastschriftverfahren ist bei Shops mit Gütesiegeln ebenfalls zu empfehlen.
  • Weiterhin ist es wichtig, einen konkreten Liefertermin zu nennen. Ist kein Termin genannt, so hat der Anbieter laut Gesetz 30 Tage Zeit zu liefern.
  • Das im Fernabsatzgesetz genannte 14-tägige Widerrufsrecht gilt für jegliche Internet-Einkäufe. Innerhalb des Bestellvorgangs muss ein Hinweis diesbezüglich auftreten.
  • Im Rahmen des Datenschutzes dürfen Kundendaten nur für die Bestellabwicklung genutzt werden. Zudem sollte die Übertragung der Daten über sichere Protokolle geschehen.
  • Garantien sowie Kundenservice sind vor allem Erfahrungswerte. Die Zuverlässigkeit diesbezüglich lässt sich anhand von Gütesiegeln oder eigener Testanrufe erkennen.

(Quelle: Aktuelle Meldung von call-magazin.de vom 29.11.2004)

Autor: Nicolas Finke, 03.11.00