Institut für Internet-Sicherheit
if(is)

Links  | Kontakt  | Sitemap  | Impressum  |  if(is) auf Twitter if(is) Facebook if(is)
Bedrohungen im Umgang mit Web 2.0

Internetbasierte Groupwaredienste

Durch die Mobilitätsanforderungen der Mitarbeiter/ Organisationen von Unternehmen und die zunehmende Zusammenarbeit in globalen Verbünden, wird der Wunsch nach zentralen Diensten, die über das Internet einfach verfügbar sind, immer größer.
Besonders wünschenswerte Dienste sind gemeinsame Terminkalender, Kontaktdaten, Dokumente und Projektpläne.

Da es sich in diesem Bereich um besonders sensible Daten handelt, muss sowohl der Zugriff auf solche Dienste als auch die Übertragung der Daten speziell gesichert werden.
Dabei spielen die Identifikation und Authentikation der berechtigten Nutzer sowie die Verschlüsselung der Kommunikation eine wichtige Rolle.

Identifikation und Authentikation von Nutzern

Die Identifikation ist die Überprüfung eines vorgelegten, kennzeichnenden Merkmals, z.B. des Nutzernamens. In der realen Welt wird eine Person eindeutig durch die Angabe von Vorname, Nachname, Geburtsort und Geburtstag identifiziert. In Deutschland wird die Eindeutigkeit der Identifikation von den Standesämtern garantiert.

Authentikation bezeichnet einen Prozess, in dem überprüft wird, ob »jemand« oder »etwas« echt oder berechtigt ist. Authentikation bedeutet die Verifizierung (Überprüfung) der Echtheit bzw. der Identität. Die Überprüfung des Personalausweises einer Person ist in der realen Welt eine solche Authentikation.

Was muss und kann z.B. in der IT-Welt identifiziert und authentisiert werden?
Kommunikationspartner: z.B. Nutzer, Anwendungen, Dienste, Instanzen, und so weiter oder
Kommunikationsmedien: z.B. Client- und Serversysteme, usw. oder Nachrichten: z.B. Mails, Dateien, Java-Applets und weitere.

In der IT-Welt gibt es vier generelle Authentikationsmethoden.

Passwort-Verfahren: Das Passwort-Verfahren ist das einfachste Authentikationsverfahren. Es ist wichtig, dass das Passwort nur über eine verschlüsselte Kommunikation eingegeben wird. Außerdem müssen gewisse Passwortregeln eingehalten werden, damit möglichst kein Angriff möglich ist. Passwortregeln sind bspw. eine Mindestlänge von 6 Stellen einzuhalten, besser 8, keine Trivialpassworte zu verwenden und weitere.
Einmal-Passwort: Beim Einmal-Passwort wird jedes Passwort nur einmal verwendet. Dabei werden grundsätzlich zwei Methoden unterschieden. Bei der ersten Methode werden Passworte im Vorfeld bestimmt und verteilt. Bei der zweiten Methode berechnen die Nutzer  die Passworte, nach einem definierten Verfahren, selber.
Challenge-Response-Verfahren: Beim Challenge-Response-Verfahren muss sich der Nutzer spontan kryptographisch beweisen. Dazu werden ein Schlüssel und ein kyptographisches Verfahren genötigt. Eine Möglichkeit ist z.B. als Challenge eine Zufallszahl zu verwenden, die dann von der SmartCard des Nutzers  nach deren Aktivierung signiert wird.
Biometrische Verfahren: Bei Biometrischen Verfahren findet die Identifikation und Authentifikation mittels biometrischer Merkmale statt. Hier wird zwischen aktiven Verfahren, wie Stimme, Unterschrift, Gestik, Tippverhalten und passiven Verfahren, wie Fingerabdruck, Retina, Iris, Gesicht, Ohr unterschieden. Im Internet sind solche Verfahren weniger geeignet.

Grafik: Groupwaredienste auf Basis der Web 2.0 Technologie
Groupwaredienste auf Basis der Web 2.0 Technologie

Verschlüsselung zwischen Browsern und Webservern

Da das Internet offen ist und die gesetzlichen Rahmenbedingungen weltweit sehr unterschiedlich sind (Asien, AUS, Europa, usw.), ist die Nutzung der Verschlüsselung für die Kommunikation zwischen Client und Server von besonderer Sicherheitsbedeutung. Sehr viele Sicherheitsaspekte im Web haben mit der Einrichtung einer vertrauenswürdigen Verbindung zwischen Client und Server zu tun. Der vorherrschende Ansatz für die Verschlüsselung im Web ist die Verwendung von SSL (Secure Socket Layer).
SSL ist ein von der Firma Netscape entwickelter Verschlüsselungsstandard (Protokoll), zur sicheren Datenübertragung im Internet, welcher auf unterschiedliche Verschlüsselungs- und Authentifikationsmethoden basiert. Die verschlüsselte Kommunikation wird hierbei mittels Tunneling ermöglicht (z.B. https). Dieser Standard dient beispielsweise zum Schutz vor unberechtigtem Zugriff auf private Daten durch Dritte während der Übertragung im Internet. SSL bietet zudem die Möglichkeit, dass sich Sender und Empfänger mittels Zertifikaten gegenüber dem Anderen authentisieren können. Das SSL-Protokoll ist applikationsunabhän-gig und setzt logisch auf einem Transportprotokoll auf. Heute ist SSL als RFC 2246 standardisiert und wird als Transport Layer Security (kurz: TLS) bezeichnet.


Link zum moeglichen Abschlussarbeiten des if(is)
Marktplatz IT-Sicherheit, Lösungen, Anbieter, Dienstleistungen, IT-Jobs
Anbieter finden!
Jobs finden!

Logo zum neuen Studiengang: Master Internet-SicherheitEinstieg auch zum
Sommersemster!

Logo zum Professor des Jahres 2011

Logo: Buch Sicher im Internet

Logo: DIX - Deutscher Internet-Index

Logo: Frühwarn- und Intrusion Detection-System auf der Basis von kombinierten Methoden der KI

Logo: Live Hacking / Awareness Performance

Logo: Turaya

Logo: iTES