Rechtliche Rahmenbedingungen für eBuiness-Anwendungen by yaofenjin

VIEWS: 2 PAGES: 30

									Projektarbeit im anwendungsorientierten Schwerpunkt Handel des
               Studienganges Wirtschaftsinformatik




  RISIKEN, RECHTLICHE RAHMENBEDINGUNGEN
      UND IT-SICHERHEIT VON EBUSINESS-
                ANWENDUNGEN




eingereicht bei: Prof. Dr. Ginnold
am:              16.01.2003
von:             Heiko Bräseke (0403656)
                 Crispin Hartmann (0373725)
Risiken, rechtliche Rahmenbedingungen und IT-Sicherheit für eBusiness-Anwendungen




1.      RISIKEN FÜR EBUSINESS-ANWENDUNGEN ........................... 4
  1.1      EINLEITUNG ............................................................................. 4
  1.2      BETRIEBSWIRTSCHAFTLICHE RISIKEN ............................................... 5
  1.3      TECHNISCHE RISIKEN ................................................................. 6
  1.4      MENSCHLICHES FEHLVERHALTEN ..................................................... 7
2. RECHTLICHE RAHMENBEDINGUNGEN FÜR EBUSINESS-
ANWENDUNGEN ............................................................................. 9
  2.1 RELEVANTE GESETZE .................................................................. 9
    2.1.1 Fernabsatzgesetz (FernAbsG) .......................................... 10
    2.1.2 Fernunterrichtsschutzgesetz (FernUSG) ............................ 11
    2.1.3 Informations- und Kommunikationsdienstegesetz (IuKDG) .. 11
      2.1.3.1 Gesetz zum elektronischen Geschäftsverkehr (EGG) ..... 11
      2.1.3.2 Teledienstegesetz (TDG) ........................................... 11
      2.1.3.3 Teledienstedatenschutzgesetz (TDDSG) ....................... 11
      2.1.3.4 Signaturgesetz (SigG) ............................................... 12
      2.1.3.5 Signaturverordnung (SigV) ........................................ 12
      2.1.3.6 Gesetz zum Schutz von zugangskontrollierten Diensten
      und von Zugangskontrolldiensten (ZKDSG) ................................ 12
    2.1.4 Urheberrecht ................................................................. 13
    2.1.5 Kennzeichenrecht ........................................................... 13
    2.1.6 Wettbewerbs- und Werberecht ......................................... 13
  2.2 RECHTLICHE GRUNDLAGEN.......................................................... 14
    2.2.1 Vertragsform ................................................................. 14
    2.2.2 Problematiken im eBusiness ............................................ 14
  2.3 ANFORDERUNGEN AN ELEKTRONISCH GESCHLOSSENE VERTRÄGE .............. 15
    2.3.1 Archivierung von Dokumenten ......................................... 16
  2.4 WEITERE WICHTIGE RECHTSRAHMEN, GESETZE, VERORDNUNGEN UND
  RICHTLINIEN .................................................................................. 16
    2.4.1 Rechtsrahmen für E-Commerce........................................ 16
    2.4.2 Rechtsrahmen für E-Signatur ........................................... 16
    2.4.3 Rechtsrahmen für IuK-Datenschutzgesetz ......................... 17
    2.4.4 Rechtsrahmen zum Schutz vor illegalen Netzinhalten .......... 17
    2.4.5 EU-Recht....................................................................... 17
3.      IT-SICHERHEIT FÜR EBUSINESS-ANWENDUNGEN ............... 19
  3.1 GRUNDLAGEN UND ZIELE FÜR SICHERHEIT IN EBUSINESS-ANWENDUNGEN .. 19
  3.2 ANSATZPUNKTE FÜR SICHERHEIT IM EBUSINESS ................................. 21
  3.3 AUSGEWÄHLTE METHODEN UND VERFAHREN FÜR SICHERHEIT VON EBUSINESS-
  ANWENDUNGEN ............................................................................... 22
    3.3.1 Symmetrische und Asymmetrische (Public-Key-Verfahren)
    Verschlüsselung ........................................................................ 22
    3.3.2 Hybride Verschlüsselungsverfahren .................................. 23
    3.3.3 Wahrung der Integrität durch Hash-Werte ......................... 24
    3.3.4 Digitale Signatur ............................................................ 25
    3.3.5 Authentifizierung der Benutzer ......................................... 25
    3.3.6 Autorisierung der Benutzer .............................................. 26
    3.3.7 Secure Socket Layer (SSL) .............................................. 27

Bräseke, Hartmann                            Seite 2 von 30                               16.01.2003
Risiken, rechtliche Rahmenbedingungen und IT-Sicherheit für eBusiness-Anwendungen



    3.3.8 Homebanking Computer Interface (HBCI) ......................... 28
  3.4 RESÜMEE .............................................................................. 29
4.      QUELLEN ............................................................................. 30




Bräseke, Hartmann                            Seite 3 von 30                           16.01.2003
1. Risiken für eBusiness-Anwendungen




1. Risiken für eBusiness-Anwendungen


    1.1 Einleitung

In der heutigen Zeit, wo das eBusiness immer mehr an Bedeutung
gewinnt, wird es immer wichtiger, sich vor diversen Risiken zu schützen.
Also muss man sich die Frage stellen, was Risiken eigentlich sind und
woraus sie entstehen können.
In der folgenden Grafik kann man sehen, aus welchen Faktoren sich
Risiken im eBusiness zusammensetzen.




Quelle: http://www.ifi.unizh.ch/staff/bauknecht/vortrag/Uni_Linz/roehrig-damm.pdf


Risiken entstehen aus ungenügender Sicherheit. Für eBusiness
Anwendungen gibt es deshalb eine Reihe von rechtlichen
Rahmenbedingungen, die darauf abzielen, das elektronische Geschäft
abzusichern. Dazu wird im Bereich rechtliche Rahmenbedingungen
detailliert eingegangen.
Einige Beispiele für eBusiness-Anwendungen, die von den Risiken
betroffen sein können, sind E-Shops, E-Banking, E-Mail, E-Commerce, E-
Procurement und viele mehr.
Zu einer groben Einteilung der Risiken im eBusiness zählen im
allgemeinen betriebswirtschaftliche und technische Risiken, sowie
menschliches Fehlverhalten.
In Bezug auf die betriebswirtschaftlichen Risiken sind vor allem
Umsatzeinbußen, Imageschädigung, höhere interne Kosten,
Konventionalstrafen und Rechtsunsicherheit zu nennen. Aber auch
menschliches Fehlverhalten, wie mangelndes Sicherheitsbewusstsein,
unbewusstes Fehlverhalten, Sabotage, Spionage und technische Risiken,
wie Datenvernichtung, Datendiebstahl, Datenmanipulation und
technischer Ausfall(Hardwareausfall) gehören zu den Hauptrisiken.
Man kann sagen, dass durch die Risikogruppen menschliches
Fehlverhalten und technische Risiken oft die betriebswirtschaftlichen
Risiken hervorgehen.
Bräseke, Hartmann                              Seite 4 von 30                       16.01.2003
1. Risiken für eBusiness-Anwendungen



Obwohl es so zahlreiche Risiken zu nennen gibt, gibt es bisher keine bzw.
nur wenige Aufsichts- oder Kontrollinstanzen, die vor den Gefahren durch
äußeren Einfluss schützen.


    1.2 Betriebswirtschaftliche Risiken

Betriebswirtschaftliche Risiken für eBusiness-Anwendungen können wie
schon erläutert sehr unterschiedlich sein. Sie können dabei verschiedene
Ursprünge haben. Betrachtet man Beispielsweise den Umstieg auf
eBusiness-Anwendungen, so kann es vorkommen, dass es zunächst mal
zu Umsatzeinbußen kommen kann, weil nicht alle Kunden der Technologie
folgen wollen oder gar nicht können. Auch die mit den Anwendungen
verbundenen Kosten, wie Hardware und Software können zu einem Risiko
werden, wenn die Investition nicht den gewünschten Erfolg bringt und
damit zu einem Fehlkauf für ein Unternehmen wird. Große Risiken bürgen
auch die rechtlichen Rahmenbedingungen, denn durch häufige
Unkenntnis, was die zahlreichen Gesetze (Beitrag rechtliche
Rahmenbedingungen) betrifft, kommen Unternehmen oft in
Schwierigkeiten. Einige Beispiele sind Signaturgesetz, Urheberrechtgesetz
und Teledienstgesetz.
Als letztes soll noch die Imageschädigung angeführt werden.
Im eBusiness wird das Internet genutzt, um ein Unternehmen zu
präsentieren. Wenn der Webauftritt aber nicht sorgfältig durchdacht und
geplant wird, kann es passieren, dass er zum Risikofaktor wird.
Da die Online-Zeit, die ein Internet-Nutzer hat, eine wertvolle Ressource
ist, wird er sie auch effektiv nutzen wollen. Wenn beispielsweise mal eine
negative Erfahrung gemacht wurde bei einem Einkauf im Internet, dann
wird man sicherlich diesen Anbieter kaum noch aufsuchen. Es bleibt einzig
eine negative Erfahrung im Gedächtnis zurück.
Das Image hat in diesem Falle sehr gelitten.
Weitere Gründe für betriebswirtschaftliche Risiken entstehen auch
unterschiedlichen Risiken der Gruppen menschliches Fehlverhalten und
technische Risiken.




Bräseke, Hartmann                      Seite 5 von 30             16.01.2003
1. Risiken für eBusiness-Anwendungen




    1.3 Technische Risiken

Die häufigsten Risiken dieser Gruppe sind wie schon erwähnt
Datenmanipulation, Datenverlust, Datendiebstahl und technischer Ausfall .
Es gibt unterschiedliche Möglichkeiten wie es zu diesen Risiken kommen
kann.
Zum einen gibt es da die sogenannten Hacker, die versuchen eBusiness-
Lösungen von außen (außerhalb des eigenen Netzwerkes) zu hacken.
Hacken wird mit der steigenden Verfügbarkeit von Werkzeugen immer
leichter, wie die folgende Grafik zeigt.




Quelle: Risikoanalyse-SAP-AT-Ost.pdf auf Homepage bei Prof.Dr.Ginnold


Die Auswahl der Werkzeuge wird von Jahr zu Jahr umfangreicher und
auch intelligenter, so dass Hacker kaum noch Wissen übers eigentliche
Hacken brauchen. Im folgenden werden einige Tools kurz erläutert.
Programme wie Viren, die durch Download, per E-Mail oder durch
ähnliches auf den Computer gelangen, können Datenbestände
manipulieren oder sogar löschen.
In der Vergangenheit haben Viren oft großen Schaden angerichtet. Als
wohl bekanntester Vertreter dieser Gattung zählte der „I-love-you“ Virus.
Eine verdeckte Art, Opfer eines Hackerangriffes zu werden, wird mit
Trojanische Pferde erreicht. Diese können, wenn sie erst mal auf dem
Computer aktiv sind, Hintertüren für unerwünschte Besucher öffnen ohne
dass man selbst etwas davon mitbekommt.
Solche Programme kommen meist auch per E-Mail oder durch Downloads
auf den Computer und wird mit dem Start dieser Datei gestartet. Damit ist
dann der Weg für Hacker geebnet, um Daten zu vernichten, zu verändern,
zu stehlen oder auch auszuspionieren. Diese verdeckten Programme sind
Bräseke, Hartmann                             Seite 6 von 30            16.01.2003
1. Risiken für eBusiness-Anwendungen



auch oft in anderen Programmen versteckt, die dann auch
Wirtsprogramme genannt werden.
Als letztes möchte ich Denial-of-Service Attacken anführen, denn damit
können Hacker mit gezielten Angriffen beispielsweise Webserver lahm
legen, die Internetpräsenz von Unternehmen manipulieren, auf Server
gespeicherte Daten von Kunden oder ähnliches missbrauchen oder
Webangebote (Dienstleistungen) unberechtigt in Anspruch nehmen.
Oft ist Unternehmen nicht klar, dass viele Probleme bzw. Risiken auch
hausgemacht werden.
Hierzu zählen technische Defekte, Irrtümer, Fahrlässigkeit, Fehler von
Mitarbeiter und vieles mehr. Aber auch nicht kompatible Anwendungen
oder Schnittstellen sowie die teilweise hochkomplexen IT-Systeme können
die Zuverlässigkeit dieser Systeme beeinträchtigen.
Besonders an die Schnittstellen für eBusiness-Anwendungen werden hohe
Anforderungen an Standards, wie zum Beispiel EDI gestellt.
Kompatible Schnittstellen zu anderen Marktteilnehmern sind zwingend
notwendig, um geschäftsfähig zu sein. Aber auch durch veraltete
Techniken sind Performanceprobleme bzw. Hardwareausfälle
vorprogrammiert und vor allem eBusiness-Anwendungen sind
Sicherheitsrisiken ausgesetzt.
Durch den Ausfall des IT-Systems können derart hohe Kosten entstehen,
dass die Existenz des Unternehmens gefährdet werden
könnte(betriebswirtschaftliche Risiken).


    1.4 Menschliches Fehlverhalten

Die Risiken, die hier etwas näher erläutert werden sollen sind mangelndes
Sicherheitsbewusstsein, unbewusstes Fehlverhalten, Sabotage, Spionage
eBusiness-Anwendungen sind durch verschiedene
Sicherheitsmechanismen gegen unbefugten Zugriff gesichert. Aber im
Unternehmen sind diese Maßnahmen den Mitarbeitern oft lästig oder ihnen
fehlt einfach das nötige Sicherheitsbewusstsein für die Sicherheit. So
kommt es oft vor, dass Mitarbeiter beispielsweise Passwörter oder
Zugangsdaten an ihren Bildschirm kleben.
Dieser sorglose Umgang mit den Sicherheitsvorkehrungen ist den
Mitarbeitern oft nicht bewusst.
Große Probleme gibt es auch bei der Kommunikation bzw. Daten-
übertragung im eBusiness.
Wenn man von Datenübertragung im Internet spricht, ist allen klar, dass
man z.B. von E-Mail oder Online-Shopping spricht. Häufig geht es dabei
um sensible oder persönliche Daten, die nicht für Dritte bestimmt sind.
Jedoch ist nicht allen klar, dass elektronische Post auch viele Gefahren
durch „Lauscher“ birgt. Die Technik ist heutzutage schon so ausgereift,
dass man ohne große Probleme Post mitlesen, verändern oder sogar
aufhalten kann. An dieser Stelle sind Sicherheitsmechanismen wie
Verschlüsselungsprogramme unumgänglich, wenn mit vertraulichen
Informationen agiert wird. Und obwohl diese schon fast überall zur
Verfügung stehen, werden sie dennoch nicht immer eingesetzt

Bräseke, Hartmann                      Seite 7 von 30            16.01.2003
1. Risiken für eBusiness-Anwendungen



Weiterhin muss im eBusiness die Identifikation sichergestellt werden.
Was ist mit Identifikation eigentlich gemeint? Bei E-Mails oder Webseiten
im Internet ist nicht immer klar, wer sich dahinter verbirgt. Zum Beispiel
durch das fälschen von Absenderangaben bei E-Mails kann die Identität
der eigentlichen Person durch eine falsche E-Mail verborgen werden. Die
beste Möglichkeit diesem Problem entgegenzuwirken, ist das einsetzen der
digitalen Unterschrift.
Als letztes sind da noch die Spionage- und Sabotagerisiken zu nennen.
Spione gehen ähnlich wie Hacker oder andere Angreifer vor.
Ihr Ziel ist es meistens wichtige Unternehmensdaten unbemerkt
auszuspähen, um Wettbewerbsvorteile zu erlangen.
Dabei nutzen sie alle Angriffspunkte von eBusiness-Anwendungen, wo sie
ihr Ziel erreichen können. Viele davon wurden bereits genannt.
Spione müssen es aber nicht einmal immer schwer haben ins Netzwerk
einzudringen. Oft waren diese selbst einmal Mitarbeiter desselben
Unternehmens und so kann es vorkommen, dass alte Passwörter nicht
gleich gelöscht werden oder gar vergessen werden zu löschen(mangelndes
Sicherheitsbewusstsein).
Gleiches trifft auch für Saboteure zu. Saboteure handeln aber aus anderen
Zielen heraus.
Da wäre zum einen das Motiv der Rache, das darauf abzielt, mutwillig
Schaden zuzuführen. Als weitere Motive kann man das Schaffen von
Vorteilen gegenüber anderer Mitarbeiter nennen oder einfach die
persönliche Bereicherung am Unternehmen.




Bräseke, Hartmann                      Seite 8 von 30             16.01.2003
2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen




2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen

Die zunehmende Bedeutung von eBusiness in Zeiten anhaltender
Rezession und steigenden Kosten für Personal, Raum und Material
erfordert eine ebenso klare, rechtskräftige und verbindliche Abwicklung
wie bei den klassischen Geschäftsformen.


   2.1 Relevante Gesetze

Die grundlegenden Rahmenbedingungen für ordentliche
Geschäftstätigkeiten geben unter Kaufleuten das HGB, zwischen
Kaufleuten und Privatleuten bzw. unter Privatleuten das BGB vor.
Mit der Schuldrechtsreform, die seit dem 01.01.2002 in Kraft getreten ist,
erfährt das BGB die umfassendsten Änderungen seit seinem bestehen.
Betroffen davon ist vor allem das Vertragsrecht, was auch direkt
Auswirkungen auf das eBusiness und deren Anwendungen besitzt. So
wurde unter anderem mit der Hinzunahme des § 312 e die „Pflichten im
elektronischen Geschäftsverkehr“ geregelt.
Neu geregelt bzw. zusätzlich aufgenommen wurden auch die folgenden
Themengebiete:

   -   Vorvertragliche Informationspflichten/Regelung der „elektronischen
       Bestellung
            Vereinfachte Bereitstellung aller zum Vertragsabschluß nötigen
            Informationen

   -   Vereinheitlichung / Vereinfachung der Verjährung
             Einheitliche Verjährungsfrist (von Ausnahmen abgesehen) für
             Ansprüche aus Kaufverträgen von drei Jahren

   -   Sonderregelungen für Gewährleistung bei Kauf
            Verlängerung der Verjährungsfrist für
            Gewährleistungsansprüche von 6 Monate auf 2 Jahre

   -   Einheitliches Leistungsstörungsrecht
             Bisher existierten im BGB unterschiedliche Arten der
             Vertragsstörung die unterschiedliche rechtliche Folgen hatten;
             ab nun gilt ein einheitlicher Tatbestand des Vertragsbruches,
             aus dem sich ebenso einheitlich genau ein Rechtsanspruch
             ableiten lässt

   -   Anpassung des werkvertraglichen Gewährleistungsrechts an
       kaufvertragliche Gewährleistungsregelungen
            Bei Werkverträgen gelten nun die gleichen Rechte und
            Pflichten wie beim Kaufvertrag



Bräseke, Hartmann                          Seite 9 von 30           16.01.2003
2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen



Weiterführende Informationen zu den Gesetzesänderungen erhalten Sie
unter: http://www.ecin.de/recht/schuldrecht/

BGB und HGB bilden somit das Fundament, auf das die den neueren
Medien und Gegebenheiten angepasste Gesetze aufbauen.
Dazu zählen unter anderen:

      Fernabsatzgesetz
      Fernunterrichtsgesetz
      Informations- und Kommunikationsdienstegesetz mit seinen
       Einzelgesetzen:
          o Gesetz zum elektronischen Geschäftsverkehr
          o Teledienstegesetz
          o Teledienstedatenschutzgesetz
          o Signaturgesetz
          o Signaturverordnung
          o Gesetz zum Schutz von zugangskontrollierten Diensten und
             von Zugangskontrolldiensten

Weiterhin finden auch eine Reihe traditioneller Gesetze und Vorschriften
für das Internet Anwendung, z.B.:

      Urheberrecht
      Gesetz zu den allgemeinen Geschäftsbedingungen
      Kennzeichenrecht
      Wettbewerbs- und Werberecht


       2.1.1 Fernabsatzgesetz (FernAbsG)

Das Fernabsatzgesetz findet Anwendung bei Verträgen über die Lieferung
von Waren oder Dienstleistungen zwischen Kaufleuten und
Privatpersonen.
Inhalt dieses Gesetzes sind die Regelungen zur Unterrichtung des
Verbrauchers über die Identität des Vertragspartners bei Anbahnung und
Abschluss von Fernabsatzverträgen, zu Widerruf- und Rückgaberecht, zu
Produktbestandteilen und –eigenschaften, der Preise und Konditionen,
sowie zu Rechten, Pflichten und Fristen bei finanzierten Verträgen.
Das Gesetz kommt ausschließlich bei Verträgen zum Tragen, bei denen die
Vertragsanbahnung sowie der Vertragsabschluss ausschließlich über
Fernkommunikationsmittel erfolgt ist.
Mit Wirkung vom 01.01.2002 ist dieses Fernabsatzgesetz vollständig
Bestandteil des BGB (§ 312a ff.).
Weitere Informationen zu diesem Gesetz erhalten Sie unter:
http://www.weinknecht.de/ojr/gesetze/fernabsg.htm#FernAbsG
http://www.fernabsatzgesetz.de
http://www.rechtspraxis.de/fernabsatzgesetz.htm



Bräseke, Hartmann                          Seite 10 von 30         16.01.2003
2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen



       2.1.2 Fernunterrichtsschutzgesetz (FernUSG)

Diese Gesetz findet Anwendung bei Verträgen, die die entgeltliche
Vermittlung von Kenntnissen und Fähigkeiten zum Ziele haben.
Voraussetzung hierbei ist, dass Lehrender und Lernender ausschließlich
oder überwiegend räumlich getrennt sind.

Den vollständigen Gesetzestext finden sie unter:
http://jurcom5.juris.de/bundesrecht/fernusg/index.html


       2.1.3 Informations- und Kommunikationsdienstegesetz (IuKDG)

Das IuKDG vereint mehrere Gesetze miteinander. Im nachfolgenden
werden diese Gesetze kurz vorgestellt.

         2.1.3.1 Gesetz zum elektronischen Geschäftsverkehr (EGG)
Ziel dieses Gesetzes ist es, einheitliche wirtschaftliche
Rahmenbedingungen für die verschiedenen Nutzungsmöglichkeiten der
elektronischen Informations- und Kommunikationsdienste zu schaffen.
Dieses Gesetz wurde am 20. Dezember 2001 im Bundesgesetzblatt (BGBI)
Teil I auf Seite 3721veröffentlicht.

         2.1.3.2 Teledienstegesetz (TDG)
Ziel dieses Gesetzes ist es, einheitliche und grundlegende
Rahmenbedingungen für das Wirtschaftswachstum der Informations- und
Kommunikationsdienstleistungen zu schaffen.
Es vereint Bestimmungen für Online-Dienstleistungen und regelt
insbesondere die Grundlagen der Haftung für Inhalte.
Davon betroffen sind vornehmlich Anbieter von Informationen selbst
(sogenannte Content Provider), Service Provider als Anbieter (z.B. von
Web Space) für Content Provider sowie Anbieter von Zugängen zu
fremden Inhalten (z.B. durch Links), sogenannte Access Provider.
Als problematisch stellt sich dabei immer noch die genaue Definition des
Begriffes „Inhalt“ dar. Auch eine Trennung zwischen fremden und eigenen
Inhalt ist nicht einfach und bietet immer noch Raum für subjektive
Auslegungen.

         2.1.3.3 Teledienstedatenschutzgesetz (TDDSG)
Das TdDsG befasst sich mit der Regelung über den Umgang mit
personenbezogenen Daten. Dabei versucht es, den hohen Standard der
Datensicherheit auch bei Nutzung neuer Medien oder Dienstleistungen zu
wahren.
Das Gesetz geht im Interesse des Verbrauchers von der stringentesten
Form des Schutzes aus: Es dürfen grundsätzlich nur so wenig
personenbezogene Daten wie nötig gespeichert und / oder verarbeitet
werden. Dabei muss jede Person, die von dieser Speicherung oder
Bräseke, Hartmann                          Seite 11 von 30       16.01.2003
2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen



Verarbeitung seiner persönlichen Daten betroffen ist, ausdrücklich und in
jedem Fall erneut zustimmen.
Die Einschränkungen über Dauer und Zweck der Speicherung, Art und
Umfang der Verwendung sowie der Informationspflicht seitens des
Datenhalters finden hier auch Berücksichtigung.

         2.1.3.4 Signaturgesetz (SigG)
Das Signaturgesetz wurde auf Grundlage der EU-Richtlinie für
„gemeinschaftliche Rahmenbedingungen zum Einsatz elektronischer
Signaturen“ geschaffen. Ziel des Gesetzes ist es, diese
Rahmenbedingungen, die die juristische Grundlage für den Gebrauch
digitaler Signaturen darstellen, zu manifestieren und damit eine sichere
Kommunikation zu gewährleisten, die Identität der am Datenaustausch
beteiligten Personen sicherzustellen sowie die Authentizität der
übermittelten Dokumente zu garantieren.
Zur gesicherten Festlegung der digitalen Signatur als Gütekriterium
befasst sich das Signaturgesetz auch mit der Definition der Anforderungen
an technische Systeme und des Ablaufes zur Registrierung und
Überwachung der erforderlichen Infrastruktur. Es schreibt allerdings nicht
vor, wie die besonderen technischen Prozeduren der Signatur abzulaufen
haben.

         2.1.3.5 Signaturverordnung (SigV)
Ziel dieser Verordnung ist es, die erforderlichen
Ausführungsbestimmungen zum Signaturgesetz zu beschreiben. Dabei
bleibt der Raum für innovative Lösungen bestehen, da sie wie das Gesetz
nur Zielvorgaben enthält. Sichere Signaturen im Sinne §1 Abs. 1 des
Signaturgesetzes werden durch Regelungen gewährleistet. Nicht
Regelungsgegenstand der Verordnung sind technischen Standards und
betriebliche Abläufe bei der Erzeugung und Prüfung dieser Signaturen.
Der Unterschied von Gesetz und Verordnung liegt darin, dass ein Gesetz
auf Dauerhaftigkeit angelegt ist, während eine Verordnung als
Ausgestaltung eines Gesetzes sich je nach den Erfahrungen, die man mit
der Praxis des Gesetzes macht, verändern kann.

         2.1.3.6 Gesetz zum Schutz von zugangskontrollierten Diensten
                 und von Zugangskontrolldiensten (ZKDSG)
Ziel dieses Gesetzes ist es, Zugangskontrolldienste gegen unerlaubte
Eingriffe zu schützen.
Mit zugangskontrollierte Dienste sind Rundfunkdarbietungen, Teledienste
und Mediendienste im Sinne von §2 der jeweiligen Gesetze, die aber unter
der Voraussetzung eines Entgelts erbracht werden müssen. Des weiteren
dürfen sie nur unter Verwendung eines Zugangskontrolldienstes genutzt
werden.
Zugangskontrolldienste sind technische Verfahren oder Vorrichtungen.


Bräseke, Hartmann                          Seite 12 von 30         16.01.2003
2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen



Veröffentlicht wurde dieses Gesetz am 22. März 2002 im BGBI Teil I Nr.
19 Seite 1090 und trat direkt nach Verkündung in Kraft.

Den gesamten Gesetzestexte erhalten Sie unter:
http://www.online-recht.de/vorges.html?IuKDG oder
http://www.iukdg.de/


       2.1.4 Urheberrecht

Vor allem die Verwendung von Hyperlinks unter Berücksichtigung des
Urheberrechtes ist unter Juristen umstritten.
Weiterhin sind folgende Themen Bestandteile des Gesetzes:
   -  Urheberrechtlich schützbare Leistungen (Bsp.: Definition „Urheber“)
   -  Vervielfältigungs- und Bearbeitungsrecht
   -  Verbreitungs- und Senderecht
   -  Anwendbares Recht (Bsp.: für welches Land sind welche Lizenzen
      bestimmt)

Einsicht in den Gesetzestext können Sie unter:
http://transpatent.com/gesetze/urhg.html nehmen.


       2.1.5 Kennzeichenrecht

Der Schutz und die Vereinbarung von Bestimmungen zu Marken und
Namen, insbesondere zu Themen wie:
   -  Zeichenverwendung in Domänennamen
   -  Inhalte und Darstellung von Homepages
   -  Verwendung von Hyperlinks
Sind die Inhalte des Kennzeichenrechtes.


       2.1.6 Wettbewerbs- und Werberecht

Im wesentlichen geht es im Wettbewerbs- und Werberecht um folgende
Themen:
  -  Unaufgeforderte Zusendung von Werbung
  -  Detaillierte Auspreisung der angebotenen Waren und
     Dienstleistungen (insbesondere der Steuern, Versicherungen, etc.)
  -  Detailgrad, Inhalt und Eindeutigkeit der Werbeaussage
  -  Klare Trennung von Werbung und journalistischer Information
   -




Bräseke, Hartmann                          Seite 13 von 30        16.01.2003
2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen



    2.2 Rechtliche Grundlagen


        2.2.1 Vertragsform

Nur in Ausnahmefällen bedarf ein Vertragsabschluss der schriftlichen
Form. Grundsätzlich besteht die sogenannte Formfreiheit.
Ausnahmen davon sind z.B. Schuldanerkenntnisse, Bürgschaftsverträge,
Kreditgeschäft, etc.
Zur Durchsetzung der eigenen Interessen (im Falle eventueller
Rechtsstreitigkeiten) sollte aber darauf geachtet werden, dass die
vereinbarte Formfreiheit genügend Rechtsverbindlichkeit zulässt und eine
lückenlose Dokumentation des Vorganges ermöglicht.


        2.2.2 Problematiken im eBusiness

Zugangsproblematik                                  Obliegenheitspflicht
Eine elektronische Willenserklärung                 Wer mit der Einrichtung eines
(per E-Mail) stellt juristisch eine                 elektronischen Briefkastens und
Willenserklärung unter Abwesenden                   Veröffentlichung der geschäftlichen
dar                                                 Korrespondenzadresse den
Diese wird erst dann wirksam, wenn                  geschäftlichen Verkehr eröffnet hat,
sie dem Adressaten zugeht. (§130                    ist auch zur regelmäßigen Kontrolle
Abs.1 BGB)                                          des Briefkastens verpflichtet
Der Zugang ist erfolgt, wenn sie in                 Der Absender im elektronischen
den Machtbereich des Empfängers                     Geschäftsverkehr darf darauf
gelangt, d.h. wenn der                              vertrauen, dass seine Nachricht
Vertragspartner unter gewöhnlichen                  innerhalb der üblichen
Umständen von ihr Kenntnis                          Geschäftszeiten, spätestens am
nehmen kann.                                        folgenden Vormittag vom Empfänger
                                                    zur Kenntnis genommen wird.
Bei der postalischen Übermittlung                   Auch im Falle technischer Störungen
von Erklärungen gelten diese als                    (z.B. beim Provider) gilt die
zugegangen, wenn sie in den                         Willenserklärung als zugegangen, da
Einflussbereich des Empfängers                      der Empfänger für die einwandfreie
gelangen. Dies ist regelmäßig bei                   Funktion des Accounts Sorge zu
Einwurf in den Briefkasten.                         tragen hat.

Quelle: vgl. http://www.fh-wedel.de/~sw/data/Kurs_e-Business_RS_0601_RS_I.PDF, Seite 21


Problematisch im eBusiness stellt sich auch die Umsetzung des Gesetzes
für die allgemeinen Geschäftsbedingungen (AGB) dar. Die Art und Weise
der Darstellung dieser AGB eines Internetanbieters im World Wide Web ist
bisher noch nicht verbindlich geregelt. Wie also kann sichergestellt
werden, dass die zum Zeitpunkt des Vertragsabschlusses geltenden
Regelungen gelesen, anerkannt und nicht nachträglich geändert wurden?
Ein vielversprechender Lösungsansatz stellt hierbei die Anwendung der
digitalen Unterschrift (Signatur) dar.

Bräseke, Hartmann                           Seite 14 von 30                               16.01.2003
2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen



    2.3 Anforderungen an elektronisch geschlossene Verträge

Die Mindestanforderungen (im Falle eines Rechtsstreites) an elektronisch
geschlossene Verträge sind:

   Authentizität der elektronisch erstellten Dokumente
    Die Echtheit der Dokumente nach Vertragsabschluss muss
    gewährleistet sein.

   Integrität der elektronisch erstellten Dokumente
    Die Manipulation (Veränderung oder Ergänzung) oder der Verlust der
    Daten nach der elektronischen Übermittlung muss ausgeschlossen
    werden können.

 Authentizität der beteiligten Vertragspartner
  Die am Vertragsabschluss beteiligten Parteien müssen durch sichere
  Identifikation nachweisen können, dass sie auch die natürlichen oder
  juristischen Personen sind, die sie vorgeben zu sein.
 Nachweisbarkeit des elektronisch abgewickelten Vertrages
  Keine der an der am Vertragsabschluss beteiligten Parteien darf in der
  Lage sein, die Übertragung von rechtsverbindlichen Willenserklärungen
  o.ä. zu bestreiten oder anzuzweifeln.


Diesen Anforderungen können verschiedene Einzelverfahren oder die
Kombination dieser Verfahren gerecht werden:

        Digitale Unterschrift: asymmetrisch kryptographische Verfahren;
         (digitale Signatur)    es gibt mindestens zwei unterschiedliche
                                Schlüssel zum chiffrieren und zum
                                dechiffrieren eines Klartextes




Quelle: http://www.security-messe.hisolutions.com/documentpool/download/hisecure_whitepaper_de.pdf


       Prüfsummenverfahren das fertige Vertragsdokument wird mit einer
                            eindeutigen Prüfsumme versehen; minimale
                            Änderungen am Dokument verändern auch
                            die Prüfsumme



Bräseke, Hartmann                           Seite 15 von 30                                  16.01.2003
2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen



       2.3.1 Archivierung von Dokumenten


Papierdokumente werden zur besseren Archivierung immer häufiger
elektronisch verarbeitet. Dies geschieht durch Digitalisieren mittels
Einscannen.
Da durch die Digitalisierung der Dokumente eine unerlaubte
Nachbearbeitung wesentlich einfacher geschehen kann und damit die
Beweiskraft solcher Dokumente vor Gericht nahezu null ist, müssen diese
digital signiert werden.
Diese digitale Signatur sollte aber nicht unbegrenzt gelten, da durch die
fortwährende Entwicklung der Computertechnik die Sicherheit der
verwendeten Schlüssel der Signatur für die Zukunft nicht dauerhaft
gewährleistet werden kann
Der Gesetzgeber sieht außerdem vor, dass die elektronisch archivierten
Dokumente mit der digitalen Signatur mit zeitgemäßen Mitteln innerhalb
einer angemessenen Zeitdauer angezeigt werden können.


   2.4 Weitere wichtige Rechtsrahmen, Gesetze, Verordnungen und
       Richtlinien


       2.4.1 Rechtsrahmen für E-Commerce

      Elektronischer Geschäftsverkehr-Gesetz(EGG)
      Teledienstegesetz (TDG)
      Mediendienstestaatsvertrag (MDStV)
      Zugangskontrolldiensteschutzgesetz (ZKDSG)
      Bürgerliches Gesetzbuch (BGB) §312 e
      Verordnung über Informationspflichten im bürgerlichen Recht
      § 13 Unterlassungsklage-Gesetz
      § 1031 Zivilprozeßordnung


       2.4.2 Rechtsrahmen für E-Signatur

      Drittes Gesetz zur Änderung verwaltungsverfahrensrechtlicher
       Vorschriften – In Kraft getreten 2002
      Bündnis für elektronische Signaturen
      Gesetz über Rahmenbedingungen für elektronische Signaturen
       (SigG)
      Signaturverordnung (SigV)
      Gesetz zur Anpassung der Formvorschriften des Privatrechts und
       anderer Rechtsvorschriften des modernen Rechtsgeschäftsverkehr
      Gütesiegel für elektronische Signatur




Bräseke, Hartmann                          Seite 16 von 30        16.01.2003
2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen




       2.4.3 Rechtsrahmen für IuK-Datenschutzgesetz

      Teledienstedatenschutzgesetz (TDDSG)
      Telekommunikationsgesetz (TKG)
      Telekommunikations-Datenschutzverordnung (TDSV)
      Bundesdatenschutzgesetz (BDSG)


       2.4.4 Rechtsrahmen zum Schutz vor illegalen Netzinhalten

      Jugendmedienschutzstaatsvertrag (JMStV)
      Gesetz über die Verbreitung jugendgefährdender Schriften und
       Medieninhalten (GjS)
      Jugendschutzgesetz (JuSchG) – voraussichtliches Inkrafttreten der
       Änderungen am 01.04.2003
      Gesetz zum Schutze der Jugend in der Öffentlichkeit (JÖschG)


       2.4.5 EU-Recht

      E-Commerce Richtlinie(ECRL):
       Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates
       vom 08. Juni 2000 über bestimmte rechtliche Aspekte der Dienste
       der Informationsgesellschaft, insbesondere des elektronischen
       Geschäftsverkehrs, im Binnenmarkt ("Richtlinie über den
       elektronischen Geschäftsverkehr")
      Zugangskontrolldienste-Richtlinie:
       Richtlinie 98/84EG des Europäischen Parlaments und des Rates vom
       20. November 1998 über den rechtlichen Schutz von
       zugangskontrollierten Diensten und von Zugangskontrolldiensten
      Richtlinie 98/48/EG des Europäischen Parlaments und des Rates
       vom 20. Juli 1998 zur Änderung der Richtlinie 98/34/EG über ein
       Informationsverfahren auf dem Gebiet der Normen und technischen
       Vorschriften
      Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates
       vom 13.Dezember 1999 Für gemeinschaftliche Rahmenbedingungen
       für elektronische Signaturen
      Richtlinie 95/46 zum Schutz natürlicher Personen bei der
       Verarbeitung personenbezogener Daten zum freien Datenverkehr
      Richtlinie 97/66 über die Verarbeitung personenbezogener Daten
       und den Schutz der Privatsphäre im Bereich der Telekommunikation


Bräseke, Hartmann                          Seite 17 von 30        16.01.2003
2. Rechtliche Rahmenbedingungen für eBusiness-Anwendungen



      Richtlinie 02/58 des Europäischen Parlaments und des Rates über
       die Behandlung personenbezogener Daten und den Schutz der
       Privatsphäre im Bereich der elektronischen Kommunikation
      Internet Action Plan
      European Commission – Legal Advisory Board: Legal Aspects of
       Computer-Related Crime of Information Society




Bräseke, Hartmann                          Seite 18 von 30       16.01.2003
3. IT-Sicherheit für eBusiness-Anwendungen




3. IT-Sicherheit für eBusiness-Anwendungen

Sicherheit bedeutet im allgemeinen Sprachgebrauch und per Definition
durch den Duden den „Zustand des Unbedrohtseins, der sich objektiv im
Vorhandensein von Schutzeinrichtungen bzw. im Fehlen von
Gefahrenquellen darstellt und subjektiv als Gewissheit von Individuen oder
sozialen Gebilden über die Zuverlässigkeit von Sicherungs- und
Schutzeinrichtungen empfunden wird“.
Wird der Fokus dieser Definition nun auf Informationen, die die Grundlage
jeder eBusiness-Anwendung sind, gelegt, so ist es nun der „Zustand, in
dem Daten sowohl inhaltlich und formal unverändert bleiben als auch
geschützt vor unberechtigtem Zugriff sind“.


    3.1 Grundlagen und Ziele für Sicherheit in eBusiness-Anwendungen

Das natürliche Sicherheitsbedürfnis jedes Einzelnen ist es, welches die
Begründung für das Verlangen nach Sicherheit in allen unseren
Lebensbereichen liefert. Das Geschäftsleben, und somit auch das
eBusiness, ist davon nicht ausgenommen. Allen eBusiness-Anwendungen,
sei es Online-Shopping (klassisches B2C) mit Kreditkartenzahlung, Online-
Buchung einer Reise oder Online-Banking inklusive Online-Aktienhandel,
ist gemein, dass interne Firmendaten mit Internet-Anwendungen
verknüpft werden.

Die nachfolgenden Grafiken zur offiziellen polizeilichen Kriminalstatistik
des Bundeskriminalamtes aus dem Jahre 2002 verdeutlichen
eindrucksvoll, wie groß die Bedrohung der privaten und
unternehmensbezogenen Daten durch die Computerkriminalität ist.




Quelle: http://www.bundeskriminalamt.de




Bräseke, Hartmann                            Seite 19 von 30          16.01.2003
3. IT-Sicherheit für eBusiness-Anwendungen




Quelle: http://www.bundeskriminalamt.de


Die technischen, rechtsverbindlichen und betriebswirtschaftlichen Gründe
für die Notwendigkeit der Sicherheit von eBusiness-Anwendungen liegen
    im Grundkonsens, dass Sicherheit die Basis für die Etablierung einer
       Geschäftstätigkeit bildet,
    in der Tatsache, dass eBusiness häufig über eine Medium (Internet)
       stattfindet, welches nicht speziell für diese Zwecke konzipiert wurde,
       ständigen Veränderungen unterliegt und an dem jeder teilnehmen
       kann,
    in der präventiven Vermeidung von Folgeschäden

    und

       in den generellen Sicherheitszielen
        -  Integrität
        -  Authentizität
        -  Vertraulichkeit
        -  Verfügbarkeit
        -  Verbindlichkeit
        -  Autorisierung

Das Vertrauen des Kunden steht in direktem Zusammenhang mit seinem
Sicherheitsempfinden. Somit steht und fällt die kommerzielle Erschließung
des Internets durch eBusiness-Anwendungen mit dem Grad der
angebotenen Sicherheit.

Folgende Sicherheitsziele lassen sich für das eBusiness aus Kunden- und
Anbietersicht ableiten:




Bräseke, Hartmann                            Seite 20 von 30         16.01.2003
3. IT-Sicherheit für eBusiness-Anwendungen




Kunde                                                Anbieter
Bequemlichkeit                                       Kundenvertrauen
Sicherheit der Datenübermittlung                     Ansehen des Unternehmens
Wahrung der „Privatsphäre“                           Verfügbarkeit des Dienstes
(persönliche Daten)
                                                     Vertraulichkeit
                                                     Integrität
                                                     umfassende Sicherheit der
                                                     Anwendung


Hieraus entsteht ein klassischer Zielkonflikt, bei dem sich die Ziele

Bequemlichkeit/Komfort                                            umfassende
Sicherheit

nahezu unvereinbar gegenüberstehen.
Die Lösung dieses Zielkonfliktes ist häufig eine der großen
Herausforderungen von eBusiness-Anwendungen.
Einerseits soll die Handhabung der Software dem Ergonomieempfinden
des Kunden entgegenkommen und ihn durch den Komfort an das
Unternehmen binden, andererseits muss sie sicheren Schutz vor den
besonderen Bedrohungen dem das eBusiness ausgesetzt ist, wie

       Sabotage,
       Vandalismus,
       Angriffe durch Insider,
       Integritätsverlust,
       Betrug,
       Diebstahl und
       Denial of Service-Attacken, bieten.

Da Sicherheit aber nie durch Komfort in Frage gestellt werden kann und
darf, wird das Hauptaugenmerk bei Softwareprodukten immer auf dem
Sicherheitsaspekt liegen.


    3.2 Ansatzpunkte für Sicherheit im eBusiness

Die Annahme, es gebe lückenlose Sicherheit ist genauso falsch wie der
Ansatz, nur eine der am elektronischen Business beteiligten Komponenten
ist gefährdet und bedarf besonderer Aufmerksamkeit.
Fakt ist, dass die Gesamtanwendung nur so sicher sein kann, wie die
schwächste Einzelkomponente.




Bräseke, Hartmann                            Seite 21 von 30                      16.01.2003
3. IT-Sicherheit für eBusiness-Anwendungen



Die kritischen Elemente innerhalb dieser komplexen Anwendungskette
sind:

Anbieter                           Übertragungsweg      Kunde
Web-Server                         unbekanntes Routing  Browser
                                   durch das WWW vom
                                   Sender zum Empfänger
Datenbank                                               Frontend-Applikationen
                                                        Heterogenität der
                                                        Systeme verschiedener
                                                        Kunden
                                                        Einsatz von Push-
                                                        Technologien

Für jede dieser potentiellen Angriffsziele gibt es mindestens eine Lösung
zur Absicherung und Herstellung grundlegender Sicherheitsanforderungen
von eBusiness-Anwendungen.

Anbieter:                       Firewall, Intrusion Detection / Response Systeme,
                                DSig, etc.
Übertragungsweg:                S-HTTP, SSL, HBCI (speziell) etc.
Kunde:                          TAN, PIN etc.


    3.3 Ausgewählte Methoden und Verfahren für Sicherheit von eBusiness-
        Anwendungen

Im folgenden sollen die derzeit gebräuchlichsten und im eBusiness-Bereich
angewandten Grundlagen, Methoden und Verfahren kurz vorgestellt und
erläutert werden.


        3.3.1 Symmetrische und Asymmetrische (Public-Key-Verfahren)
            Verschlüsselung

Verschlüsselungen bilden den Grundbaustein derzeitiger
Sicherheitslösungen im Internet. Durch die „freie“ Übertragung der Daten
ist ein „Mithören“ prinzipiell für jeden Teilnehmer des Internets möglich.
Der erste Ansatz besteht also darin, die ausgetauschten Informationen zu
verschlüsseln. Hierfür existieren verschiedene Verfahren.
Symmetrische Verschlüsselungsverfahren verwenden zum chiffrieren und
dechiffrieren der Daten ein- und denselben Schlüssel. Der Schlüssel des
Senders wird ebenso vom Empfänger genutzt. Daraus ergibt sich das
Problem, dass jeweils zwischen zwei Teilnehmern ein eigener Schlüssel
vereinbart werden muss. Bei 500 Teilnehmern sind dies z.B. 125.000
Schlüssel (500 x 500 / 2 – sofern jeder mit jedem kommunizieren
möchte), deren Verwaltung einen unglaublichen Aufwand darstellen
würde. Die Verteilung der Schlüssel an die jeweiligen


Bräseke, Hartmann                            Seite 22 von 30              16.01.2003
3. IT-Sicherheit für eBusiness-Anwendungen



Kommunikationspartner müsste ebenso gesichert stattfinden, um einen
Missbrauch auszuschließen - ein weiteres, nahezu unlösbares Problem.
Die Asymmetrische Verschlüsselung dagegen arbeitet nach dem Prinzip
eines öffentlichen und eines privaten Schlüssels (Sender und Empfänger
verwenden verschiedene Schlüssel – asymmetrisch). Der öffentliche
Schlüssel wird hierbei auf den Klartext angewandt, der private Schlüssel
auf den chiffrierten Text.
Der Sender verschlüsselt die zu sendenden Daten mittels des frei
zugänglichen, zentral verwalteten öffentlichen Schlüssels.
Der Empfänger, und auch wirklich nur der Empfänger (bzw. der Inhaber
des privaten Schlüssels) kann den Text wieder entschlüsseln – mit Hilfe
seines einmaligen privaten Schlüssels.




Quelle: Harper, David; Schwickert, Axel C.: Sicherheit von eBusiness-Anwendungen – Eine Fallstudie


Anwendung findet diese Verschlüsselungstechnik vor allem bei „Offline“-
Datenübertragungen, wie eMail. Hauptgrund ist die relativ geringe
Verschlüsselungsgeschwindigkeit sowie der Umstand, dass asymmetrische
Verschlüsselungen das Datenvolumen der übertragenen Informationen
vergrößern.


        3.3.2 Hybride Verschlüsselungsverfahren

Hybride Verschlüsselungen vereinen die Vorteile von symmetrischen und
asymmetrischen Verschlüsselungsverfahren.
Hierbei wird im Public-Key-Verfahren ein symmetrischer Sitzungsschlüssel
versendet. Dieser Sitzungsschlüssel besitzt nur Gültigkeit für die Dauer
einer Sitzung oder eines anderen genau definierten Zeitraumes.
Der Sender generiert nach dem Zufallsprinzip einen zeitlich begrenzten
symmetrischen Sitzungsschlüssel und chiffriert mit diesem die Nachricht
(die zu übertragenden Daten). Anschließend wird der erstellte

Bräseke, Hartmann                             Seite 23 von 30                                    16.01.2003
3. IT-Sicherheit für eBusiness-Anwendungen



Sitzungsschlüssel durch den Public-Key ebenfalls chiffriert. Im dritten
Schritt werden sowohl die verschlüsselte Nachricht (Daten), als auch der
chiffrierte Sitzungsschlüssel an den Empfänger übertragen.
Die Wiederherstellung des Sitzungsschlüssels sowie der übertragenen
Daten erfolgt dann durch den Empfänger in umgekehrter Reihenfolge.




Quelle: Harper, David; Schwickert, Axel C.: Sicherheit von eBusiness-Anwendungen – Eine Fallstudie


Die Vorteile dieses Verfahrens liegen klar in der Vermeidung des
Datenvolumens durch Anwendung der symmetrischen Verschlüsselung für
die Übertragung der eigentlichen Daten sowie der einfachen
Handhabbarkeit durch den Einsatz der asymmetrischen Verschlüsselung
im Vorfeld der Übertragung.
Dieses Verfahren findet Anwendung bei der SSL-Datenübertragung.


        3.3.3 Wahrung der Integrität durch Hash-Werte

Verschlüsselungen bieten zwar Schutz vor einer unberechtigten
Kenntnisnahme der Daten, können aber nicht die Integrität der
enthaltenen Informationen gewährleisten. An dieser Stelle setzen
elektronisch erzeugte Vergleichskriterien wie das Hash-Verfahren an.
Dabei wird aus einem Teil des Klartextes, genaugenommen eine in der
Länge definierte Zeichenkette, ein sogenannter Hash-Wert generiert. Wird
der Originaltext verändert, so ändert sich damit auch der Hash-Wert.
Dieser Hash-Wert wird durch den Sender den zu übermittelnden Daten
zugefügt, so dass der Empfänger durch Anwendung ein- und derselben
Hash-Funktion die Unversehrtheit der empfangenen Informationen
überprüfen kann.
Die Bildung eines Hash-Wertes ohne eine anschließende Verschlüsselung
macht insofern keinen Sinn, dass jeder die Daten abfangen, manipulieren
und mit einem neuen Hash-Wert versehen kann.




Bräseke, Hartmann                             Seite 24 von 30                                    16.01.2003
3. IT-Sicherheit für eBusiness-Anwendungen



        3.3.4 Digitale Signatur

Zur Absicherung des Hash-Wertes kommt an dieser Stelle das Public-Key-
Verfahren in umgekehrter Reihenfolge zum Einsatz: Der Sender
verschlüsselt den Hash-Wert mit seinem privaten Schlüssel. Jeder, der im
Besitz des zugehörigen öffentlichen Schlüssels ist, kann den Hash-Wert
der übertragenen Daten nach Erhalt überprüfen und damit die Integrität
der Informationen kontrollieren.
Diese Vorgehensweise wird als digitales Signieren bezeichnet.




Quelle: Harper, David; Schwickert, Axel C.: Sicherheit von eBusiness-Anwendungen – Eine Fallstudie


Die Richtigkeit des Schlüssels und deren Zugehörigkeit zum Besitzer
werden in Zertifikaten der Zertifizierungsstellen (CA) manifestiert. Diese
bestätigen durch digitales Signieren die Angaben des Zertifikatbesitzers
und somit auch der öffentlichen und privaten Schlüssel.
Größtes Anwendungsgebiet der digitalen Signatur ist derzeit DSig (Digital
Signature Initiative - ein Projekt des W3C). DSig ist ein
Standardisierungsvorhaben zur Etablierung der digitalen Signatur im
Internet. Es wird hauptsächlich zur Signierung von ausführbarem Code
(z.B. Java Applets, ActiveX, ActiveScripting, etc.) und rechtsverbindlichen
Dokumenten (z.B. Preislisten, Produktbeschreibungskataloge, etc.)
verwendet. Damit soll dem Anwender die Sicherheit gegeben werden,
auch wirklich nur die Seite und die unverfälschten Informationen des
gewünschten Ansprechpartners zu sehen bzw. dessen Applikationen /
Anwendungen auszuführen.


        3.3.5 Authentifizierung der Benutzer

Das einfachste Verfahren zur Authentifizierung eines Benutzers ist die
Verwendung und Übermittlung von Benutzerkennung und zugehörigem

Bräseke, Hartmann                             Seite 25 von 30                                    16.01.2003
3. IT-Sicherheit für eBusiness-Anwendungen



Passwort. Allerdings sollten dabei die Daten aus den eingangs erwähnten
Gründen nicht unverschlüsselt übertragen werden.
Nicht ratsam ist auch die Verwendung eines immergleichen Schlüssels zur
Chiffrierung der Anmeldedaten. Hierbei kann durch einen sogenannten
Replay-Angriff (Abfangen der verschlüsselten Daten und erneute
Anmeldung mit verschlüsselten Daten) die Verschlüsselung ausgehebelt
werden.
Diese Formen der Authentifizierung finden in nahezu allen Bereichen der
Informationsverarbeitung Anwendung (z.B. Mail-Account, Anmeldung an
Anwendungssoftware, Internet-Zugang, eBusiness-Anwendung, etc.).

Eine alternative Form der Benutzer-Authentifizierung ergibt sich aus dem
Einsatz von PIN (Persönliche Identifikationsnummer) und TAN
(Transaktionsnummer).
Die PIN ist hierbei mit der Benutzerkennung gleichzusetzen. Die Funktion
der TAN ist mit der eines Einmal-Passwortes zu vergleichen.
Jeder Teilnehmer erhält eine Reihe von einmalig gültigen
Transaktionsnummern zumeist in Papierform.
Der Vorteil ergibt sich aus der Tatsache, dass selbst bei Abhören des
Anmeldevorganges keine Rückschlüsse auf die vollständigen
Anmeldedaten (durch die wechselnde Transaktionsnummer) gezogen
werden können.
Allerdings ergeben sich auch eine Reihe von Nachteilen:

       zu Gunsten der besseren Handhabbarkeit werden mehrere
        Transaktionen oft durch nur eine TAN zur Verarbeitung akkreditiert;
        Unsicherheit im Falle von Abhören
       Übermittlung der TANs an den Kunden aufwendig und mit
        Sicherheitsrisiken behaftet; Papierform dabei noch am sichersten
       Aufbewahrung des TAN-Blocks beim Kunden mit Risiken behaftet

Authentifizierungen mit PIN und TAN werden vor allem im Bereich Home-
Banking eingesetzt.

        3.3.6 Autorisierung der Benutzer

Integrität, Vertraulichkeit und Authentifizierung bilden die Grundlage
beziehungsweise die Voraussetzungen für eine Autorisierung des
Benutzers.
Jeder Benutzer, der z.B. auf die Produktdaten des Herstellers mittels
eProcurement zugreifen möchte, muss nach erfolgreicher
Authentifizierung durch Überprüfung und Anwendung der Autorisierung in
seinen Zugangs- und Zugriffsrechten auf Rechner, Programme und Daten
reglementiert werden.
Die vielfältigen Kriterien und Abhängigkeiten, mit Hilfe derer die
Zulässigkeit einer Datenmanipulationsanforderung entschieden wird,
werden in sogenannten Verzeichnisdiensten (directory services) von
speziellen Servern (directory servern) vorgehalten.


Bräseke, Hartmann                            Seite 26 von 30        16.01.2003
3. IT-Sicherheit für eBusiness-Anwendungen



Client-Anfragen an diese Server werden über das Protokoll LDAP
(Lightweight Directory Access Protocol) realisiert, welches auf TCP
(Transmission Control Protocol) aufbaut und IP (Internet Protocol) als
Transportprotokoll nutzt.
LDAP zeichnet sich besonders durch

       einfache, zentrale und betriebssystemunabhängige Administration
        von Userkonten
       zentrale Verwaltung und Verfügbarkeit von Adresslisten

aus.
Jede Anwendung, jedes System, welches eine Authentifizierung der
Benutzer voraussetzt, verlangt gleichzeitig nach einer Autorisierung.


        3.3.7 Secure Socket Layer (SSL)

Dieses Übertragungsprotokoll wurde Ende 1994 von Netscape vorgestellt
und kostenlos angeboten. Ziel von SSL war es, den Anwendern möglichst
einfach, ergonomisch und halbwegs verständlich die Möglichkeit zu geben,
ihren Datenverkehr zu verschlüsseln.
Es vereint die Verfahren zur hybriden Verschlüsselung, der digitalen
Signatur sowie der Zertifikate in eigens definierten Protokollstrukturen und
Prozeduren für den Austausch der notwendigen Schlüssel. Dabei erweitert
SSL die Verbindungsstelle von TCP/IP und dem Verbindungsprotokoll (z.B.
HTTP) um eine weitere Schicht.
Zum Aufbau einer SSL-gesicherten Verbindung zwischen einem Client und
einem Server bedarf es mindestens einseitig eines Zertifikates.
Der genaue Ablauf ist in der folgenden Abbildung dargestellt:




Quelle: Harper, David; Schwickert, Axel C.: Sicherheit von eBusiness-Anwendungen – Eine Fallstudie

Bräseke, Hartmann                             Seite 27 von 30                                    16.01.2003
3. IT-Sicherheit für eBusiness-Anwendungen




    (1)  Client teilt Server die unterstützten Verschlüsselungs- und
         Hashverfahren mit
    (2) Server bestätigt dies und überlässt Client die Auswahl
    (3) Server übermittelt Client das Zertifikat mit öffentlichem Server-
         Schlüssel
    (4) Client erzeugt zufälligen Sitzungsschlüssel
    (5) Client verschlüsselt mit dem Sitzungsschlüssel Testnachrichten
         und verschlüsselt abschließend den Sitzungsschlüssel mit dem
         öffentlichen Serverschlüssel
    (6) Gesamtpaket wird an Server übermittelt
    (7) Server entschlüsselt mit dem privaten eigenen Schlüssel den
         Sitzungsschlüssel des Clients
    (8) mit dem dechiffrierten Sitzungsschlüssel wird der Nachrichtentext
         entschlüsselt
    (9) Fragen der Nachricht werden vom Server beantwortet und mit
         dem Sitzungsschlüssel chiffriert
    (10) Übertragung der beantworteten, verschlüsselten Nachricht an
         Client

Erst im letzten Schritt beweist der Server seine Authentizität, da nur der
Inhaber des originalen, zum Zertifikat passenden privaten Schlüssel den
Sitzungsschlüssel und damit den Nachrichtentext dechiffrieren konnte.
Somit verwendet SSL die aufwendigeren asymmetrischen Schlüssel nur
für die Authentifizierung und die Übertragung des erzeugten
Sitzungsschlüssels. Die eigentliche Kommunikation wird anschließend mit
dem schnelleren und schlankeren symmetrischen Schlüsselverfahren
realisiert.
Angewandt wird diese Form der gesicherten Datenübertragung vor allem
im Bereich des Home-Bankings, der Bezahlung im Internet sowie der
Übertragung von personenbezogenen Daten.


        3.3.8 Homebanking Computer Interface (HBCI)

HBCI basiert ebenso wie SSL auf kryptographischen Verfahren.
Es ist ein Kommunikationsprotokoll der Anwendungsebene (Schicht 7
ISO/OSI-Schichtenmodell). Die Syntax dieses Protokolls ist an die Syntax
von UN/EDIFACT abgelehnt.
Man unterscheidet zwei verschiedene Ansätze:

    1. symmetrische Verschlüsselung mittels einer Chipkarte
    2. softwarebasierte asymmetrische Verschlüsselung auf Diskette

Die für die Verschlüsselung eingesetzten Schlüsselpaare müssen in beiden
Fällen zwischen dem Kunden und der Bank ausgetauscht werden, wobei
sich hier der Vorteil der Chipkarten-Lösung zeigt. Die Schlüssel werden
von der Bank generiert und auf der Chipkarte abgespeichert, welche dann
dem Kunden problemlos übergeben wird.

Bräseke, Hartmann                            Seite 28 von 30       16.01.2003
3. IT-Sicherheit für eBusiness-Anwendungen



Die Softwarelösung erfordert das Engagement des Kunden. Er hat die
Aufgabe, die Schlüssel zu generieren und anschließend die öffentlichen
Schlüssel der Bank mitzuteilen.
Weitere Vorteile der Chipkartenlösung sind die Abgeschlossenheit der
kryptographischen Prozesse auf dem Chip vor der Außenwelt und die
Portabilität der Karte.
Nachteilig wirkt sich der Umstand aus, dass ein spezielles Kartenlesegerät
für den Betrieb der Chipkarte nötig ist, wogegen die Diskettenlösung keine
weiteren Anforderungen an die Hardware stellt.
Die Authentifizierung des Benutzers erfolgt über eine lokale (Vergleich auf
Chipkarte oder Benutzer-PC) Passwortabfrage.
Der weitere Ablauf (Verschlüsselung der Daten durch Chiffrierung des
generierten Sitzungsschlüssels, etc.) entspricht dem einer SSL-
Verbindung.
Ein Sicherheitsrisiko stellt allerdings bisher noch die Tatsache dar, dass
sich der HBCI-Server selbst gegenüber dem Client nicht authentifizieren
muss.

Eine praktische Bedeutung besitzt momentan nur die filialferne
elektronische Abwicklung der Bankgeschäfte.


    3.4 Resümee

Trotz der ständigen Weiterentwicklung der Verschlüsselungsverfahren und
immer ausgefeilteren Methoden zur Benutzer-Authentifizierung
(Stichwort: biometrische Merkmale) bedroht der technische Fortschritt in
Form von leistungsfähigerer Soft- und Hardware die Sicherheit heutiger
und zukünftiger Systeme.
Nur durch ein gemeinsames und gleichgerichtetes Sicherheitsbestreben
von Forschung, Politik, Wirtschaft und Konsumenten wird es möglich sein,
dem eBusiness von morgen durch Liquidation der Hindernisse der
Gegenwart den Weg zu ebnen.




Bräseke, Hartmann                            Seite 29 von 30       16.01.2003
4. Quellen




4. Quellen

Risiken
http://www.bmwi.de
http://www.dedig.de
http://www.ifi.unizh.ch/
http://www.siWan.de
http://www.sercon.de

Rechtliche Rahmenbedingungen
http://www.bmwi.de
http://www.dedig.de
http://www.bundeskriminalamt.de
http://www.ecin.de/recht/
http://www.weinknecht.de/ojr/gesetze/fernabsg.htm#FernAbsG
http://www.fernabsatzgesetz.de
http://www.rechtspraxis.de/fernabsatzgesetz.htm
http://jurcom5.juris.de/bundesrecht/fernusg/index.html
http://www.online-recht.de/vorges.html?IuKDG
http://www.iukdg.de/
http://transpatent.com/gesetze/urhg.html
http://www.fh-wedel.de/
Lehrmaterial von Herrn Prof. Dr. Ginnold

IT-Sicherheit
http://www.security-messe.hisolutions.com
http://www.ifi.unizh.ch/
http://wi.uni-giessen.de/gi/dl/det/Schwickert/1158/




Bräseke, Hartmann              Seite 30 von 30               16.01.2003

								
To top