WEB02
Zu AKAD Lernheften
Zu AKAD Lernheften
Kartei Details
Karten | 28 |
---|---|
Sprache | Deutsch |
Kategorie | Informatik |
Stufe | Universität |
Erstellt / Aktualisiert | 07.05.2013 / 07.10.2022 |
Lizenzierung | Kein Urheberrechtsschutz (CC0) |
Weblink |
https://card2brain.ch/box/web02
|
Einbinden |
<iframe src="https://card2brain.ch/box/web02/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
5 generele Sicherheitsziele
des Electronic Commerce (EC)
- Authorisierung
- Ist der Nutzer zur Transaktion berechtigt? - Vertraulichkeit
- Confidentiality; werden die Daten nur von Berechtigten gelesen? - Authentisierung
ist der Kommunikationspartner der, der re vorgibt zu sein? - Integrität
kommt die Nachricht unveraädert beim Empfänger an? - Nichtabstreitbarkeit
ist das Absenden/Empfangen von Nachrichten beweisbar?
ergänzend (Verfügbarkeit)
4 EP-Verfahren
EP - electronic payment
- Prepaid
- Elektronisches Geld
- Abrechnung über Telefonrechnung
- kreditkarten-/lastschriftbasiert
Bedeutung von Vertrauen
- spielt große Rolle, da kein direkter Kontakt mit dem Händler.
- Kaufabwicklung anonym im Internet
- Sicherheitsbedürfnis der Nutzer
- Vertrauenswürdigkeit über Zertifikate ausgestellt durch unabhängige Dritten
- Rating-Agenturen, Erfahrungen anderer Nutzer
Folgen der Sicherheitsvorfalls
existenzbedrohende Ausmaße:
- Schadenersatzforderungen
- Imageverlust
- Umsatzausfall
Subjektive und objektive Sicherheit
- objektive Sicherheit muss dem Risiko angemessen sein und wirtschaftlich sinnvollen Maß haben
- zur Erhöhung der subjektiven Sicherheit sind Marketing-Maßnahmen geeignet
Angriffsmöglichkeiten
- Klassisches Auskundschaften:
- Auswertung von Papierresten
- Social Engineering (Täuschung, Manipulation,Hochstapelei) - Ausnutzen von Schwachstellen:
- Portscanner zum Auffinden von offenen TCP-Ports
- Paket-Sniffer zum Mitlesen des Datenverkehrs
- Ausnutzen von Fehlfunktionen z.B. eines Webservers zum unberechtigten Aufruf von DIensten - trojanische Pferde
Schadprogramme, die heimlich auf dem Zielrechner installiert werden, um die Daten aufzuspühren, auszulesen und zu versenden. - Man-in-the-Middle-Attacks:
elektronische Art der Täuschung. Die Webseite einer Firma wird detailgetreu nachgemacht. und es wird versucht den Kunden darauf umzuleiten (spoofing) Durch Eingabe der Anmeldedaten auf der gefälschten Seite ist der Angreifer im Besitz gültiger Anmeldeinformationen.
Vertraulichkeit
Stellt sicher, dass Nachrichten und sonstige Daten nur von berechtigten Personen gelesen werden können. Wird. z.B. durch symmetrische und asymmetrische Verschlüsselung als kryptografisches Verfahren eingesetzt. Dabei werden die Daten vom Sender so verschlüsselt, dass nur der Empfänger sie entschlüsseln kann.
Symmetrische Verschlüsselung
- genau ein Schlüssel (private key)
- dient sowohl dem Ver- als auch dem Entschlüsseln
- sowohl dem Absender als auch dem Empfänger bekannt
- Schwachstelle: Transport des Schlüssels (ein sicherer Kanal nötig)
- für größere Kommunikationsgruppen müssen zwischen allen Personen jeweils ein Schlüssel erzeugt und ausgetauscht werden.
- DES (Data Encryption Standard) Verfahren der symmetrischen Verschlüsselung. von IBM 1975 entwickelt. 56bit-Schlüssellänge
- Triple-DES - Weiterentwicklung. Dreimalige Anwendung des DES-Verfahrens.
- AES (Advanced Encryption Standard) weiterer Nachfolger des DES
- IDEA - International Data Encryption Algorithm. 1990 entwickelt. 128bit-Länge. Sehr schnelle Verschlüsselung. Anwendung z.B. Kommunikation im Netzwerk