Institut für Internet-Sicherheit – if(is)

Ungelöste Probleme

• Sicherheitsproblem bei Facebook und Co.
• Softphones
• Die hosts-Datei (Pharming)
• Rechte und Pflichten im Internet
• Updates
• Programme zum Basisschutz
• Freeware vs komm. Software
• Hilfe-Foren
• Internet und Struktur
  • Web of Trust
  • Das Internet und Phasen der Internet-Sicherheit
    • Aufbau des Internets
    • Das Internet
    • Philosophie des Internets
    • Perimeter Sicherheit
    • Anti-Malware und Software-Upgrade
    • Präventive Sicherheitsmechanismen
    • Ungelöste Probleme
  • URL und Links
  • E-Mail-Adress-Harvesting
• Verschlüsselung und Identitäten
  • Kryptographie
    • Grundlagen der Kryptographie
    • Symmetrische Verschlüsselungsverfahren
    • Asymmetrische Verschlüsselungsverfahren
    • Kryptographie Prüfsummen
    • Elektronische Zertifikate
    • Public Key Infrastruktur (PKI)
  • SSL/TLS-Verschlüsselung
  • KeePass-Passwortspeicher
• E-Mail-Konten-Einstellungen

So weit die Forschung und Entwicklung auch fortgeschritten ist, noch gibt es im Bereich der IT-Sicherheit auch ungelöste Probleme.

1. Sicherheitsinfrastrukturen

Wir haben immer noch keine angemessene international verfügbare PKI-Infrastruktur, um z.B. ID-, E-Mail-, Signatur-Sicherheitssystem, usw. für die international agierende Informationsgesellschaft anbieten zu können. Wir müssen auch auf der Netzwerk Infrastrukturebene zusammenarbeiten, um gegen Spam, Botenetze, DDoS, Cyber-War Aktivitäten nachhaltig vorgehen zu können. Eine Herausforderung in diesem Bereich ist, eine internationale Zusammenarbeit zu etablieren, die die Völkergemeinschaft akzeptiert und eine hohe Vertrauenswürdigkeit erzielen kann.

2. Identifikationsmanagement

Eines der größten Probleme im Internet ist, dass wir sehr unterschiedliche und begrenzte Identifikationsbereiche etablieren, die nur im Unternehmens- und Kundenumfeld gültig sind. Föderationen sind noch nicht verbreitet genug! Auch im Bereich der Authenikation sind die Passworte immer noch das Mittel, um sich zu authentisieren. Hier brauchen wir neue Lösungen, die eine passende IT-Sicherheit bieten. Der elektronische Personalausweis ist für Anwendungen in Deutschland ein vielversprechender Ansatz.

3. E-Mail-Sicherheit

Im Bereich der E-Mail-Sicherheit ist es noch nicht zu einem Durchbruch gekommen. Weniger als 4 % der E-Mails werden mit PGP-, S/MIME-, oder Passphrase-gestützte-Verschlüsselungssystemen verschlüsselt. Weniger als 6 % der E-Mail werden digital signiert. In machen Bereichen, z.B. im Finanzbereich werden schon mehr als 10% der E-Mails signiert. Aber auch hier können nur weniger als 4 % die Signaturen verifizieren. Der Anteil der Spam-Mails, die im Internet versuchen durchzukommen, ist größer als 90 %. Hier ist dringend ein gemeinsames Vorgehen der globalen Player im Internet notwendig!

4. Medien-Kompetenz der Benutzer

Wir brauchen eine Internetkultur, in der wir sicher mit dem Internet umgehen können. Erst dann können wir das Potential, welches das Internet bietet, voll ausschöpfen. Unsere Online-Kompetenz muss gestärkt werden. Dazu müssen wir für einen richtigen, bewussten Umgang geschult werden, das heißt, wir müssen die Regeln und richtigen Verhaltensweisen verinnerlichen, um die Risiken und Gefahren erkennen und abschätzen zu können.
Regeln und richtige Verhaltensweisen verinnerlichen: Wir Menschen haben Instinkte, die umgangssprachlich oft als „ein sicheres Gefühl für etwas“ bezeichnet werden und Verhaltensweisen des Menschen meinen, die ohne reflektierte Kontrolle ablaufen. Wir haben uns aber auch Gewohnheiten zugelegt. Unter Gewohnheit verstehen wir, eine unter gleichen Bedingungen entwickelte Reaktionsweise. Bewusst gelernte Verhaltensweisen werden zu nützlichen Gewohnheiten oder Fähigkeiten. Also Gewohnheiten sind erworbene Verhaltensweisen, die so lange praktiziert worden sind, dass sie wie angeboren wirken. Diese Verhaltensweisen werden natürlich und automatisch angewendet, ohne bewusst darüber nachzudenken. Hier drängt sich wieder der Vergleich mit dem Straßenverkehr auf: Unabhängig davon, in welcher Form wir daran teilnehmen; als Fußgänger, Fahrrad- oder Autofahrer müssen wir die Verkehrsregeln beherrschen. Das lernen wir von Kindesbeinen an. Unsere Eltern haben uns in den ersten Jahren an die Hand genommen und uns gezeigt, wie wir über die Straße gehen können. Wir haben gelernt, dass wir die richtige Stelle finden müssen, um eine Straße zu überqueren: eine Ampel, einen Zebrastreifen oder eine übersichtliche Stelle. Wir haben gelernt, dass wir erst nach links und dann nach recht schauen müssen, ob ein Auto zu sehen ist. Wir haben aber auch gelernt abzuschätzen, wie lange es dauert, bis ein gerade heranfahrendes Auto unsere Position erreicht hat.
Verhaltensweisen, die wir für das Internet verinnerlichen sollten, sind z.B.: Schütze Deinen Computer immer mit Anti-Virus, Anti-Spyware, Personal Firewall und E-Mail Filtern. damit Angriffe verhindert werden können. Schaue Dir Deine empfangenden E-Mail immer richtig an. Wenn Du den Sender nicht kennst oder der angegebenen Sender wahrscheinlich die E-Mail nicht gesendet hat, lösche sie. Klicke nie auf einen Link in einer E-Mail, wenn Du nicht 100% sicher bist, von wem sie kommt. Gebe nie Kennungen, Passwörter oder persönliche Informationen preis. Wenn Du vertrauliche Informationen versenden möchtest, müssen diese vorher verschlüsselt werden.

5. Grenzen übergreifende Verfolgung von Angriffen

Ein Problem für die Bekämpfung der Computer-Kriminalität ist, dass die internationalen Strafverfolgungsbehörden schlecht vernetzt sind. Die Kriminellen sind vor allem in Ländern mit laxer Strafverfolgung aktiv. Der Spammer sitzt in Russland und nutzt Server in Korea, usw. Eine gemeinsame Verfolgung von Straftätern kann das Angriffspotential deutlich dämpfen.

6. Robustheit der Kommunikations- und Informationsinfrastruktur

Wir brauchen für das Internet eine höhere Robustheit, um die Verfügbarkeit zu stärken. Herausforderung in diesem Bereich sind: Die Einführung DNSSEC, Secure BGP und IPv6. Außerdem müssen wir geeignete Mechanismen gegen DDoS-Angriffe einführen.

7. Globale Privatheit

Insbesondere über das „Mobile Internet“ und den angebotenen ortsabhängige Diensten, aber auch den vielen „Web 2.0 Anwendungen“ werden die Anforderungen an den Datenschutz, an die Privatheit der Benutzer sehr viel höher. Wie diese hohen Anforderungen vertrauenswürdig durch die großen Player wie Facebook, Google, Myspace, usw. garantiert werden können, bleibt noch ungewiss.