Wer sein lokales Netzwerk oder nur einen PC an das Internet anschließen
möchte oder aber verschiedene Unternehmensstandorte als Intranet
über das Netz miteinander koppeln will, muß seine Daten
vor ungewolltem Zugriff von außen schützen.
Mit diesem Beitrag zum diesjährigem Workshop sollen Gefahren für Server und Benutzer aber auch geeignete Schutzmöglichkeiten veranschaulicht werden.
1. Datensammlungen
Beginnen möchte ich mit der Frage, ob das Internet ein Fundgrube
für kommerzielle und behördliche Datenausspäher
und Datensammler ist?
Wer hat schon den Nerv, nach langer Warterei im Augenblick des Erfolges, wenn der WWW-Browser die erlösende Meldung "Dokument übermittelt" preisgibt, einer Web-Seite den Laufpaß zu geben, nur weil sie die Eingabe persönlicher Daten verlangt? Derartige Seiten sind nicht selten. Netscape hat eine, InfoSeek und die Times auch. Und es gibt unzählige weitere.
Netscape - Benutzer des Navigators möge sich registrieren
InfoSeek - Daten dienen dem Erstellen personalisierter Nachrichtenreports
Times - es geht um das Abonnieren
Andere verlangen die Eingabe einer EMail-Adresse zum Freischalten
eines erweiterten Angebots (z.B. HotWired die Online-Ausgabe
von Wired).
Tatsache ist in allen Fällen, daß der Web-Surfer durch
Bekanntgabe seiner EMail-Adresse freiwillig Spuren hinterläßt,
denen nachzugehen mehr und mehr von kommerziellem Interesse ist.
Nach Bekanntgabe der Adresse können sogenannte Real-Time-Monitor-Programme (Power Web Suite, PWS) die eigenen Aktivitäten auf den Seiten des Servers minutiös festhalten. . . .
(PWS: Erzeugung von Benutzerprofilen, Benutzer verfolgen, Webseiten
in Echtzeit manipulieren, Zugriffe analysieren und Web-basiertes
Direktmarketing durchführen. Einsatz z.B. bei AT&T WorldNet,
PC World Online, Java World, Online BookStore und Cisco Systems.)
Interessant ist auch der Fakt, daß Suchmaschinen wie InfoSeek
oder AltaVista nicht nur das WWW indexieren sondern auch Usenet
Postings. Für den einzelnen User keine allzugroße
Katastrophe,
da er sowieso nie weiß, wer seine Botschaft liest.
In ganz anderen Dimensionen denkt man bei dem auf Usenet Postings
spezialisierten Service DejaNews, wo momentan alle Postings seit
März 1995 abrufbar sind (nach eigenen Angaben über 35
Millionen! - über 80 GB Daten).
Die indexierten Daten besitzen eine beängstigende Brauchbarkeit, repräsentieren sie doch die Meinung vieler Millionen Menschen, die nun auf einen Schlag (bzw. Tastendruck) gefiltert und gezielt ausgewertet werden können.
Ein solcher Eingriff in das Postgeheimnis ist hierzulande (ohne
richterliche Erlaubnis) nicht legal, jedoch nur äußerst
schwer nachweisbar, geschweige denn beweisbar. Noch kritischer
ist die Situation, wenn EMail über einen Router im Ausland
geroutet wird, wie das bei einigen Providern der Fall ist. Denn
was bei uns verboten ist, kann woanders erlaubt sein . . .
Pikant ist auch die Lage bei EMail, die ins Ausland gehen. Die Zahl der Router, die Kontakt mit dem Ausland haben, liegt zwischen 20 und 30. Für den Bundesnachrichtendienst wäre es also durchaus machbar, über diese Knotenpunkte EMails zu kontrollieren, möglicherweise um verfassungsfeindlichen Handlungen nachzuspüren oder (natürlich eine rein theoretische Annahme) Daten über den einzelnen Bürger zu sammeln.
Ein Vorstandsmitglied des FIFF (Forum InformatikerInnen für
Frieden und gesellschaftliche Verantwortung e.V.) Werner Moritz
weiß: "Der BND ist befugt, Fernmeldeverkehr, der nicht
leitungsgebunden ist und ins Ausland geht, abzuhören. Und
dazu zählt auch EMail." Provider haben dafür zu
sorgen, daß dem BND technische Einrichtungen zur Überwachung
eingeräumt werden, und müssen dies auch bezahlen. (Auslegungssache
ist, ob diese Regelung derzeit nur für Mobilfunkprovider
gilt).
Wer sichergehen will, daß Unbefugte keinen Einblick in private Mitteilungen bekommen, der muß seine digitale Post also verschlüsseln. Als Quasi-Standard hat sich mittlerweile PGP (Pretty Good Privacy) etabliert, für das es auf nahezu allen Computersystemen gute Programme gibt.
Eine nur eingeschränkte sinnvolle Alternative stellen anonyme
Remailer dar, das sind Computerdienste, die EMail und Postings
anonymisieren, indem sie aus den Mitteilungen die persönlichen
Adressinhalte durch eine Dummy-Adresse ersetzen.
Auf keine Fall kann man aber verhindern, daß Internet-Provider und Online-Dienste Daten über Kunden sammeln. Daß diese Logdateien marketing- und konsumorientierte Relevanz haben, ist sicherlich nicht abzuleugnen, spiegeln sie doch exzellent das Online-Verhalten des Users wider. Da steht vermerkt, wer welche kostenpflichtige Datenbank konsultiert oder wer welche Diskussionsgruppen abonniert hat. Obwohl Mißbrauch in diesem Segment bisher noch nicht bekannt geworden ist, tut der Kunde trotzdem gut daran, den Nutzungsvertrag mit dem Provider gut durchzulesen, denn seit Mitte des Jahres 1996 bedarf die Weitergabe der Daten an Dritte (wie vom MSN und Metronet [2] praktiziert) der Einwilligung der Betroffenen.
Dem neuen Telekommunikationsgesetz zufolge (am 01.08.96 in Kraft
getreten) müssen alle Anbieter, die geschäftsmäßig
Telekommunikationsdienste erbringen, den Sicherheitsbehörden
jederzeit Zugriff auf solche aktuellen Kundendateien gewähren.
Netscape führte Cookies als erster im Web ein und ermöglicht
damit Online-Anbietern im Internet, das Benutzerverhalten auszuwerten.
Gerade für den elektronischen Handel ist es von großem
Wert, die Vorlieben von Konsumenten zu kennen. Argumentiert wird
allerdings in erster Linie mit den Vorteilen für die Anwender,
denen mit Hilfe von statistisch ausgewertetem Material ein attraktiveres
Angebot zusammengestellt werden kann.
Technik:
Cookies sind kleine Stückchen Information, die der von uns verwendete Web-Browser im Auftrag des Web-Servers zunächst im Speicher unseres Rechners festhält und unter Umständen bei Verlassen des Browsers in eine Datei schreibt (natürlich kann der Server nicht, wie es teilweise ungenau formuliert wird, selber auf unsere Platte schreiben). Da dieses Schreiben also vom Web-Server initiiert wird, kann er auch nur schreiben (lassen), was er sowieso schon weiß.
Da zwischen Browser und dem Server keine permanente Verbindung
besteht, muß jedesmal wenn wir eine neue Seite aufrufen
oder ein ausgefülltes Formular abschicken, eine neue Verbindung
zum Server aufgebaut werden. Nach dem Datenaustausch wird die
Verbindung getrennt und ein eventuell auf dem Server gestartetes
cgi-Programm wird ebenfalls beendet. Und genau dort liegt das
Problem: Wenn wir durch einen komplexen Dialog geführt werden,
wie soll das beim Ausfüllen des zweiten Formulars auf dem
Server gestartete Programm wissen, was wir im ersten Formular
eingetragen haben ? Solche Informationen kann sich sinnvollerweise
unser eigener Rechner als cookie merken.
Für den hier geschilderten Fall würde es natürlich auch reichen, daß unser Rechner die Information im Hauptspeicher hält; es gibt keinen zwingenden Grund, die Information in eine Datei (bei z.B. Netscape cookie.txt, beim Internet Explorer emcookie.dat) zu schreiben. Bei einem späteren Kontakt zum Server kann dieser dann wieder auf alte Daten zugreifen. (z.B. eine Kundennummer im Online-Versand oder die EMail-Adresse bei einer Beteiligung an einem Diskussionsforum).
Dadurch daß der Server bei uns Daten speichern kann, besteht
natürlich auch die Möglichkeit, zum Beispiel Buch darüber
zu führen, wie oft und wann wir das letzte Mal einen Server
besucht haben. Auch können unsere persönlichen Vorlieben
- z.B. ob wir in einer Online-Buchhandlung eher nach Fachbüchern
zum Thema Computer oder nach Büchern mit hübschen Farbfotos
suchen - erfaßt und ausgewertet werden. Dann werden wir
vielleicht beim nächsten Besuch des Servers auf Neuerscheinungen
in dem von uns bevorzugten Bereich hingewiesen.
Ein wichtiger Aspekt, der noch erwähnt werden soll, ist das
möglicherweise anfallende Datenvolumen: Ein einzelner Server
darf auf unserem Rechner maximal 20 cookie-Einträge speichern;
jeder Eintrag darf eine maximale Größe von 4 KB haben.
Wenn wir nun annehmen, daß wir von einem Anbieter, der diese
Limits voll ausschöpft, eine Seite anfordern, in der z.B.
5 Bilder enthalten sind, so bedeutet das, daß dazu 6 Verbindungen
aufgebaut werden müssen; bei jeder Verbindung werden alle
cookies an den Server gesendet. Das macht insgesamt also 480 KB...
denken wir lieber nicht an so was; solche extremen Werte habe
ich noch nie erlebt. Die Gesamtzahl der bei uns gespeicherten
cookies darf 300 nicht überschreiten.
Fakten
Gefahren
Nutzen
Resümee:
Cookies stellen einen Komfort dar, auf den man nicht verzichten möchte. Eine echte Gefahr im Sinne eines Sicherheitsrisikos geht von ihnen sicher nicht aus. Im schlimmsten Fall werden wir vielleicht auf einzelnen Servern mit Werbeinformationen bombardiert. Wenn dieser Fall eintreten sollte, werde ich aber deswegen nicht meine cookies wegschmeißen, sondern als Konsequenz diesen Server nicht mehr besuchen.
Sinnvoll kann es sicherlich sein, sich von Zeit zu Zeit einmal
die Datei mit einem normalen Editor anzuschauen :
Unliebsame Einträge können dann gezielt gelöscht
werden.
Einen wirksamen Schutz gegen diese Gefahren bietet ein zentraler
Übergang zwischen Intra- und Internet über den jede
Kommunikation zwischen den beiden Netzen geführt wird. Dort
muß jedes Datenpaket vorbei, das nach innen in den zu schützenden
Bereich gelangen soll. Zusätzlich lassen sich auch die Zugriffe
der Intranet-Teilnehmer nach außen kontrollieren und gegebenenfalls
unterbinden. Ein solches System heißt Firewall.
Das erste Prinzip weist dabei entscheidende Vorteile auf. Es bietet
ein höheres Maß an Sicherheit, da nur die Internet-Dienste
freigegeben sind, die sicher sind oder sicher gestaltet werden
können. Dies führt zu einer Transparenz der Kommunikationsbeziehungen,
da bewußt entschieden werden muß, ob eine neuer Dienst
für den Arbeitsablauf überhaupt benötigt wird und
nicht vielleicht auf andere Art und Weise geregelt werden könnte.
Es gibt drei Arten von Firewalls:
Paket-Filter - sogenannte Network Level Firewalls - stellen
die einfachste Form der Vorbeugung dar. Sie analysieren die Header
der Datenpakete und werten IP-Adressen und Port-Nummern aus. Diese
Paket-Filter sind im allgemeinen auf Routern angesiedelt und werden
heute von den meistern Herstellern mitgeliefert. Abhängig
von den aktivierten Zugangsregeln werden Dienste oder bestimmte
Verbindungen erlaubt oder verboten. Gegen einige Standard-Angriffsstrategien
wie zum Beispiel Address Spoofing (Vortäuschen vertrauenswürdiger
Adressen) bieten Paket-Filter keinen ausreichenden Schutz. Um
eine hohe Sicherheit zu erreichen, müssen komplexe Filterregeln
(Access List) verwendet werden, die häufig nur schwer zu
handhaben sind. Ein weiterer Nachteil ist die Kenntnis der internen
Netzstruktur für mögliche Angreifer. (Die über
den Name Service bekannte Adresse des Lokalen Netzes bietet den
Angreifern erste Anhaltspunkte über die interne Netzstruktur,
die dann für die Suche nach schwachen Paßwörtern
genutzt werden können.)
Die Filtermethode mittels Circuit Level Gateways ist relativ
unscharf definiert. Prinzipiell handelt es sich um einen erweiterten
Paket-Filter, der neben reinen IP-Header-Daten noch Inhalte der
darüberliegenden Ebenen im ISO-Modell überprüfen
kann, um die Gültigkeit einer übermittelten Informationseinheit
sicherzustellen.
Application Level Gateways hingegen arbeiten auf der Anwendungsebene und erlauben, nach vorgegebenen Kriterien Verbindungen zwischen internem und externem Netz zu kontrollieren. Die Zugriffskontrolle erfolgt auf Grundlage spezieller Programme, die die Kommunikation der angeschlossenen Applikation "kennen" - z.B. WWW, Telnet, FTP, Mail ... Hierbei werden die Inhalte der übermittelten Daten inspiziert. Vorteilhaft ist, daß die Kontrolle auf der gleichen logischen Ebene erfolgt wie die eigentliche Kommunikation. Allerdings sind spezialisierte Softwaremodule erforderlich und ein neuer Service erfordert ein neues Programm. ("Verboten-was-nicht-erlaubt-Strategie")
Der Client muß sich dabei oftmals gegenüber diesem
Proxy-Programm authentifizieren. Dieser Proxy führt dann
alle Aktionen im lokalen Netz stellvertretend für den Client
aus. Diese Firewall System erlaubt das Verbergen der internen
Netzstruktur, da der Firewall keine DNS-Informationen des lokalen
Netzes nach außen dringen läßt.
Die relativ hohe Sicherheit bei diesem Application Gateway wird erkauft durch eine gewisse Inflexibilität bei Anwendungen, für die kein Proxy-Server existiert. In diesem Fall müssen entweder neue Proxy-Server geschrieben werden, oder die jeweiligen Anwendungen bzw. Ports können nur auf IP-Adressen-Basis erlaubt bzw. nicht erlaubt werden.
Ein Problem tut sich auf, wenn dieses Firewall-System zum Schutz
von Client-Server-Anwendungen auf RPC-Basis eingesetzt wird. Bei
dynamischer Portwahl durch den Portmapper auf der Servermaschine
können solche Applikationen nicht auf Anwendungsebene geschützt
werden, da die Portnummer nicht im Vorfeld vorausgesagt werden
kann.
(Nebeneffekt: Der Proxy kann gleichzeitig als Cache genutzt werden indem er alle erhaltenen WWW-Seiten zwischenspeichert und bei erneutem Zugriff darauf keine erneute Verbindung nach außen aufbauen muß.)
Der Einsatz von Firewalls bietet sich auch innerhalb eines Intranets
an, um Bereiche unterschiedlicher Sensitivität voneinander
abzugrenzen. Firewalls bieten jedoch niemals hundertprozentige
Sicherheit! Sie schützen nicht vor Fehlverhalten eines authorisierten
Nutzers und können z.B. über eine zusätzliche Verbindung
per Modem umgangen werden.
Literatur:
[1] c't 1996 , Heft 12, Report Datenspionage
[2] c't aktuell 1996, Heft 9, S. 30
[3] c't 1995, Heft 9, Report Internet
[4] c't 1996, Heft 4, Forum Internet Sicherheit
[5] c't 1996, Heft 10, Know-how Intranet Sicherheit
[6] DATACOM 1996, Heft 1, Blickpunkt "Grenzenlose Sicherheit"
[7] Business online 1997, Heft 3, Firewall Systeme im Überblick
[8] Uwe Brinkmann, "Cookies: Wirkungsweise Nutzen Gefahren",
http://www.bingo.baynet.de/bingo/members/ub304/cookies.htm
[9] Holger Reif, Verlag Heinz Heise GmbH & Co KG,
http://remus.prakinf.tu-ilmenau.de/Reif/Publications/CT9509/inhalt.html