Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Sicherheitanforderungen beim E-Commerce

Online-Shops und Zahlungsmittel im Internet

Copyright (C) 04/2000 by Howard Fuhs


In den letzten Wochen sind wieder vermehrt Fälle bekannt geworden, bei denen bekannte E-Commerce Seiten im Internet durch große Sicherheitslücken glänzten, welche auch von einfachen Computeranwendern ohne große Systemkenntnisse ausgenutzt werden konnten.

Wer sich bei einer E-Commerce Seite oder einem Web-Shop mit Benutzernamen und Passwort anmeldete, konnte mit ein paar kleinen Tests die schlimmsten Fehler bei der Serveradministration für jeden offenlegen. Oftmals enthält die Webadresse in der URL-Zeile des Browsers nach dem Login die Anmeldeinformation kodiert in einem Buchstaben- oder Zahlensalat. Wenn man hier lediglich ein Zeichen verändern braucht, um in den Account eines anderen Kunden zu gelangen, ist die erste Sicherheitslücke bereits gefunden. Auch das Weglassen des letzten Teils der URL-Adresse kann interessante Daten liefern, wenn sich z.B. im Browserfenster die Verzeichnisstruktur des Webservers präsentiert, die darin enthaltenen Dateien für jeden lesbar sind und vielleicht sogar noch Kundendaten im Klartext enthalten.

Angriffe auf E-Commerce Seiten zielen vor allem auf die Kundendatenbanken der Web-Shops, denn sie enthalten mitunter große Mengen gut sortierter Informationen von der Kundenadresse bis hin zur Kreditkartennummer und stellen damit eine sehr wertvolle Datensammlung dar. Damit ein Kunde sichergehen kann, das es mit der Sicherheit eines Systems nicht zum Schlimmsten bestellt ist, sollte er auf einige sicherheitsrelevante Dinge achten. Eine relativ sichere Möglichkeit ist die Kommunikation mit dem Server über SSL-verschlüsselte Seiten. Dabei stellt der Secure Socket Layer die Authentizität des Servers sicher und verschlüsselt die zu übertragenden Daten. Eine SSL-verschlüsselte Seite ist an dem geschlossenen Vorhängeschloß-Symbol in der linken unteren Ecke des Browsers zu erkennen.

Wesentlich besser für den Kunden wie auch den Händler ist die Möglichkeit, seine E-Commerce Lösung mit SET (Secure Electronic Transaction) zu betreiben. Das SET-Verfahren schützt die Daten nicht nur auf dem Transport, sondern implementiert auch ein für den Kunden datenschutzrelevantes "Need to Know"-Prinzip. Dabei erhalten Händler und Abrechnungsstelle jeweils nur die für sie notwendigen Informationen. Der Händler bekommt keine Kreditkartendaten und die Abrechnungsstelle erhält keine Bestellinformationen. Damit kann auf Händlerseite keine Kreditkarteninformation verloren gehen und bei der Abrechnungsstelle fallen keine wiederverwertbaren Daten zum Konsum- und Kaufverhalten des Anwenders an. Weiterhin belegen digitale Signaturen beim SET-Verfahren die Verbindlichkeit des Kundenauftrags und die Gültigkeit der Kartendaten.

All diese Verfahren setzten auf mehr oder weniger starken und damit sichere Kryptographietechniken auf. Auch wenn eben diese starken Kryptographieverfahren eine der wichtigsten Vorraussetzungen für den E-Commerce sind, so reicht Kryptographie alleine nicht aus, sie kann nur einer von mehreren Faktoren zum sicheren und vertrauenswürdigen E-Commerce sein.

Die Sicherheit von digitalen Signaturen und verschlüsselten Transportwegen steht und fällt mit dem Schutz des geheimen Schlüssels des Anwenders. Solange dieser auf dem Windows-Computer des Anwenders liegt, reduziert sich die Vertraulichkeit und Verbindlichkeit auch hochsicherer Krypto-Verfahren auf die nicht gerade überzeugende Rechnersicherheit des Anwendercomputers. Um dies auszunutzen gibt es mittlerweile einige Computerviren wie auch Trojanische Pferde die nach den geheimen Schlüsseln suchen oder die PIN/Paßworteingabe mitprotokollieren und diese dann per Internet an eine Hackeradresse senden. Mit der Kopie eines geheimen Signaturschlüssels und der mitprotokollierten PIN/Paßworteingabe des Anwenders kann jetzt jeder im Namen des Anwenders digital signieren. Solche Viren und Trojaner werden von Anwendern oftmals beim Ausprobieren von neuer Software mitinstalliert oder in das System eingeschleppt. Beispiele hierfür gab es in der Vergangenheit genügend. Es sei nur an den T-Online Trojaner von Aaron Spohr erinnert, der die Zugangsdaten von T-Online Anwendern 1998 ausspionierte.

Da vor allem unter Windows-Clients faktisch keine Sicherheit vorhanden ist, ist der eventuell illegale oder unerwünschte Zugriff auf geheime Schlüssel kaum zu kontrollieren, was auch die Gültigkeit der digitalen Signatur beeinträchtigt. Es werden also auch auf Anwenderseite sicherere Verfahren benötigt.

Ein solches Verfahren könnte eine Chipkarten-Lösung darstellen, die als Smart Card mit einem eigenen Prozessor ausgestattet und damit in der Lage ist, Manipulationsversuche zu erkennen und auch aktiv abzuwehren. Weitehin würde eine Smart Card den geheimen Schlüssel vor dem Zugriff durch Trojaner und Viren schützen bzw. entziehen, da die Daten der Smart Card sich nicht auslesen lassen sondern nur dem Smart Card Prozessor zur Weiterverarbeitung zur Verfügung stehen. Damit würde ein "Challenge and Response" System eingeführt wo an die Smart Card eine bestimmte Anfrage übergeben wird, diese innerhalb der Smart Card weiterverarbeitet wird und von der Smart Card dann ein Ergebnis ausgegeben wird. Da aber auch eine Smart Card verloren gehen kann wäre zur weiteren Erhöhung der Mißbrauchssicherheit eine biometrische Erkennung des Anwenders in Verbindung mit der Smart Card denkbar. Entsprechende Smart Cards mit integrierterter Biometriefunktion wie einem Fingerabdruckscanner wurden bereits von einigen Anbietern angekündigt und sollen demnächst zur Verfügung stehen.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 04/2000 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher