Elektronischer Dschungel

Möglichkeiten zur Sicherung von eCommerce-Transaktionen
von Marc Ruef

Die Massenmedien erzählen uns praktisch täglich, dass immer mehr kommerzielle Transaktionen auf dem elektronischen Wege getätigt werden. Doch was bedeutet dies an Veränderungen für den Verbraucher, die Industrie, die Behörden und die Dienstleister? Was ist in diesem kapitalistischen Prozess zu bedenken, und wie wichtig wird der elektronische Handel für die globale Wirtschaft?

Bereits heute werden rund um den Globus Tag für Tag geschäftliche Transaktionen auf elektronischem Wege getätigt, die sich summiert auf mehr als drei Billionen DM belaufen. Dies entspricht ziemlich genau dem deutschen Bruttosozialprodukt eines ganzen Jahres. Und von Experten wird ein steiler Anstieg der Kurve prophezeit, der diese Summe bei weitem übertreffen können soll. Auch wenn für viele Unternehmen "Electronic Commerce" zur Zeit nicht viel mehr als ein Schlagwort ist, so sind sich nahezu alle darin einig, dass ein Land, welches die Möglichkeiten des Internets nicht rechtzeitig nutzt, das internationale Nachsehen haben wird. Das trifft zum einen die weltweit konkurrierenden Wirtschaftszweige, aber auch den Behördenverkehr, die Medizin und vor allem den Bildungsbereich.
Doch was ist Electronic Commerce überhaupt? Unter eCommerce wird heute vieles und oft nicht dasselbe verstanden. Sinnvoll erscheint daher in erster Linie eine grobe Skizzierung einer Definition: Zu Electronic Commerce gehört jede geschäftliche Transaktion, die elektronisch durchgeführt wird. Umfassend können hierbei auch die Werbung und das Informieren für eine Leistung additionell berechnet werden.

Der größte Stein auf dem Weg zur Etablierung des eCommerce ist die fehlende oder nicht genügend ausgereifte Sicherheit. Dabei ist dieses Problem von der technischen Seite durchaus leicht zu lösen. Weitaus schwieriger gestaltet sich das Durchsetzen neuer Gesetze zum Schutz vor schwarzen Schafen im elektronischen Dschungel. Bisher wurden meist nur bei besonderem Bedarf individuelle Sicherheitslösungen entwickelt, die dann eher teuer und auf geschlossene Einsatzgebiete beschränkt waren. Damit sich die Wirtschaft des effizienten Nutzens durch die Datenautobahn bemächtigen kann, müssen jedoch offene Anwendungen mit günstigen Kosten und eine Kompatibilität entworfen werden. HBCI ist zum Beispiel einer dieser kostengünstigen und interoperable Vorzeige-Ansätze.

Anforderungen an die Sicherheit

Grundsätzlich gibt es eine Reihe von Anforderungen an den elektronischen Geschäftsverkehr. Dazu zählen Rechtssicherheit, Kommunikationsinfrastruktur und Verteilung der Risiken. Schon alleine durch das Nutzen von kryptographischen Verfahren - dies kann das Chiffrieren oder Signieren von Daten sein - können unerlaubte Manipulationen und Einsichten erkannt und verhindert werden. Das Medium der Zukunft ist wohl unbestritten das Internet, und so ist es naheliegend, dass dessen schon bestehende Infrastruktur für eCommerce genutzt wird. Das Internet wurde bekanntlich zur Zeit des Kalten Krieges als ein weltweiter Verbund von unabhängigen Netzen konzipiert. Als Informationsnetz, das sich durch seine dezentrale Organisation Verbindungsausfällen gegenüber weitgehend resistent verhält, diente es in seinen Kinderjahren dem Informationsaustausch zwischen Forschungseinrichtungen. Spätestens nach Mosaic, dem ersten Browser, der dem World Wide Web ein grafisches Interface verpasste, ist das Wachstum des Internets nicht mehr aufzuhalten. Und doch hat bis heute das Internet keine Instanz, die über das Netz der Netze mit Kontroll- oder Autoritätsfunktion zu herrschen vermag. Die Kommunikation im Internet erfolgt über Rechner- oder Telefonnetze mittels Kupferleitungen, Glasfasern oder Funk. Verbunden sind die einzelnen Netze untereinander durch die sogenannte TCP/IP-Protokollfamilie. Durch das rasante Wachstum des Internets müssen für die neuen Anwendungen eine Reihe von Sicherheitsproblemen gelöst werden. Dabei gilt es, zwischen anwendungsorientierten und kanalorientierten Sicherheitslösungen zu unterscheiden. Eines der Ziele der zukünftigen Netzinfrastruktur ist es, anwendungsunabhängige Protokolle einzuführen, die einen sicheren Kommunikationskanal bereitstellen können. Die von diesen Protokollen angebotenen Features sind unter anderem das gegenseitige Authentifizieren der Kommunikationspartner sowie die Vertraulichkeit der Integrität der Kommunikation. Schon heute eingesetzte Verfahren, die diesen Ansatz verfolgen, sind SSL, IPv6 und PCT. Sicherheit wird heute bei den meisten Webservern als simple HTTP Basis Authentication (HTACCESS-Passwortschutz) angeboten. Unter dieser Funktion versteht man das Authentifizieren eines Anwenders anhand seines Benutzernamens und Passworts. Da diese Informationen im Klartext übertragen werden, wird die Sicherheit dieses Verfahrens von vielen belächelt.

SSL

Das von der Firma Netscape im Jahr 1995 vorgestellte Secure Sockets Layer Protokoll bietet eine sichere End-zu-End Kommunikation zwischen der Anwendungsebene (Browser) und der Transportschicht (TCP) in drei Teilen an. Die Authentifizierung und Verschlüsselung findet mittels RSA und DES statt sowie eine zusätzliche Integritätsüberprüfung über MD5.

Die Methode hinter SSL schützt die Daten durch zwei Schichten in eben so vielen Schritten: Als erstes führen der Client und der Server einen Handshake aus, ähnlich wie jener bei einem Verbindungsaufbau durch TCP. Während dieses Prozesses tauschen sie die Schlüssel aus um danach die Kommunikation chiffriert weiterzuführen. SSL nimmt dann die zu übertragenden Meldungen, fragmentiert Daten in handliche Blöcke, komprimiert Daten optional, ordnet eine MAC-Adresse zu, verschlüsselt und überträgt das zugunsten der Sicherheit modifizierte Resultat. Die empfangenen Daten werden von der Gegenseite jeweils zuerst entschlüsselt, verifiziert, dekomprimiert, defragmentiert und an die höheren Schichten weitergereicht.

SSL konnte sich schnell zu einem de facto Standard mausern, da es eine einfache anwendungsunabhängige Etablierung sicherer Kanäle realisiert. Die Authentifizierung erfolgt mit der Hilfe von Zertifikaten. Netscapes SSL verwendet in der nordamerikanischen Version zur Verschlüsselung mit Triple-DES, IDEA, RC2 oder RC4 einen 128 Bit Schlüssel. Bei der nach Europa exportierten Version gibt es aufgrund der bestehenden Gesetze zur Regelung der Ausfuhr von kryptographischen Verfahren noch starke Einschränkungen. Daher wird der hierzulande genutzte kryptographische Rahmen von vielen noch nicht ernst genommen. Neben der Implementierung von Netscape gibt es noch einige andere SSL-Produkte. Doch Vorsicht ist geboten, denn schon Netscape machte sich einer schlampigen SSL-Implementierung bei ihrem Browser schuldig, die von Angreifern zwecks Manipulation genutzt werden konnte. Es finden sich natürlich auch verschiedene Realisierungen von SSL für Webserver. Zu den wohl beliebtesten zählen unumstritten Apache-SSL und OpenSSL, die sich sehr einfach durch vordefinierte mitgelieferte Skripte in bestehende Systeme implementieren lassen. Wer Informationen zu Apache-SSL, OpenSSL und SSLeay braucht, dem lege ich ans Herz, einen Blick auf www.cert.dfn.de/dfnpca/certify/ssl/handbuch/ zu werfen.

IPSec

SSL-basierende Lösungen sind hervorragend, wenn Client-Server-Dialoge geschützt werden sollen. In größeren Umgebungen werden jedoch immer mehr sensible Daten über das Netzwerk geschickt, was den Ruf nach einer alles umfassenden Lösung zur Verschlüsselung des gesamten Datenverkehrs immer lauter hallen lässt. Hierfür wurde ein System namens Internet Protocol Security Option inszeniert, das IP-Datagramme verschlüsseln und ihre Integrität prüfen kann. Zu den IPSec-Protokollen gehören AH, ESP, IKE, ISAKMP/Oakley und Transformationen. Ursprünglich wurde IPSec für hochsensible Umgebungen wie Verteidigungsnetzwerke entwickelt, wird heute aber zunehmend für den Schutz von Daten benutzt, die zwischen Netzwerken übertragen werden. IPSec gilt als eine Schlüsselkomponente von VPNs, den sogenannten Virtuellen Privaten Netzwerken.

IPSec ist den konkurrierenden Lösungen in vielen Bereichen überlegen: Da die IPSec-Architektur die Verschlüsselung und Authentifizierung auf Paketebene durchführt, ist sie weitgehend plattform- und anwendungsneutral. Der Schutz der Daten findet zudem für den Endanwender komplett transparent statt. Als gemeinsamer Nenner aller IPSec-Implementierungen haben sich zwei zusätzliche Header herausgebildet:

Für Linux konnten sich drei IPSec-Implementierungen in den letzten Jahren einen Namen machen: IPv6

Eine interessante Alternative zu SSL und IPSec ist die angekündigte nächste Generation (Version 6) des Internet-Protokolls, welches erstmals in RFC 1752 umschrieben wird. IPv6 unterstützt nicht nur einen weitaus größeren Adressraum als sein Vorläufer IPv4, sondern bietet darüber hinaus markante sicherheitsrelevante kanalorientierte Neuerungen. Allerdings dürften noch einige Jahre verstreichen, bis mit einer großflächigen Etablierung des neuen Standards gerechnet werden darf. Die meisten Linux-Distributoren stellen in ihren Produkten eine IPv6-Kompatibilität zur Verfügung, sodass experimentell durchaus wissenschaftliche und wirtschaftliche Erfolge erzielt werden können.

Sicherheit beim elektronischen Bezahlen

Wer eine Leistung auf elektronischem Wege verkaufen will, der muss sich auch mit Verfahren zur sicheren Abrechnung beschäftigen. Das elektronische Bezahlen weist eine unverwechselbare Analogie zum Kauf-Handel in der realen Welt auf: Elektronisches Bargeld, Geldbörsen und Kreditkarten machen Kauf-Geschäfte im Internet erst möglich. Jede dieser Methoden hat jedoch ihre Vor- und Nachteile für die jeweils involvierten Parteien und keine konnte sich bisher wirklich großflächig etablieren.

Elektronisches Bargeld

Jeder kennt es, und wohl jeder hätte gerne etwas mehr davon: Das liebe Geld. Münzen und Banknoten zeichnen sich dadurch aus, dass sie beliebig von einer Person zur anderen weitergegeben, nur von einer autorisierten Instanz hergestellt und nicht verfielfältigt werden dürfen oder können. Das Verwenden von Geld bedarf keiner besonderen Absprache, und der Weg ist nicht verfolgbar. Bargeld garantiert also die Anonymität der Nutzer. Ein entsprechendes elektronisches Modell ist die Software-Lösung eCash, bei der elektronische Münzen durch digitale Signaturen hergestellt werden. eCash dient zur Online-Bezahlung von kleinen Beträgen im Internet, wobei vorbezahlte digitale Münzen in einem lokalen System gespeichert werden.

Elektronische Geldbörsen

Elektronische Geldbörsen werden durch nicht manipulierbare Token nachgebildet, in die Beträge geladen und abgebucht werden können. Als Token werden dabei Smartcards verwendet, die die Sicherheitsanforderungen der Auf- und Abbuchung erfüllen. Im Gegensatz zu digitalem Geld fällt die Anonymität meist zu Gunsten der Sicherheit geringer aus.

Elektronische Kreditkarten

Seit den Anfängen des Jahres 1996 haben sich die vorher konkurrierenden Kreditkartenunternehmen VISA und Mastercard zu einem Konsortium zusammengeschlossen, dem auch Microsoft, IBM, Netscape, Verisign, SAIC, GTE, Terisa und fünf US-Banken angehören. Sie wollen eine auf SET (Secure Electronic Transaction) und kreditbasierende Lösung als Standard durchsetzen.

Fazit

Sicherheit, Datenschutz, Kosten, Aufwand und Benutzerfreundlichkeit sind zentrale Punkte bei der Realisierung von sicheren eCommerce-Systemen. Da jedoch die Akzeptanz der Anwender gegenüber sicherheitsrelevanten Maßnahmen in erster Linie von der Benutzerfreundlichkeit abhängt, wird ein Großteil der Energie hierauf verwendet. Oft geht dies leider auf Kosten der anderen Punkte. Aber mit IPSec und IPv6 werden revolutionäre Ansatze in den Bereichen TCP/IP und Sicherheit zur flächendeckenden Nutzung vorbereitet, die sicheren eCommerce spätestens bei ihrer Einführung sehr komfortabel realisieren werden. Zwischenzeitlich sollte man sich zurücklehnenderweise mit SSL begnügen, denn vorerst ist die Netscape-Entwicklung die einzig wirklich verwendbare und breitflächig akzeptierte Alternative.

Marc Ruef ist als IT Security Specialist bei der Biodata Information Technology AG in Rümlang, Schweiz, tätig. Seine E-Mail-Adresse ist m.ruef@biodata.com.
 
Literatur & Links
Internet Kryptographie - Link Encryption, IPSec, Virtual Private Networks
Richard E. Smith
Addison-Wesley, München 
ISBN: 3827313449

IPSec - Der neue Sicherheitsstandard für das Internet, Intranets und VPNs 
Naganand Doraswamy & Dan Harkins 
Addison-Wesley, München
ISBN: 3827316340

IPv6 - Die neue Generation 
Christian Huitema 
Addison-Wesley, München 
ISBN: 3827314208 

Virtuelle Private Netzwerke 
Charlie Scott, Paul Wolfe & Mike Erwin 
O'Reilly/VVA 
ISBN: 3897211238 

Zugbrücke hoch! Sichere Datenübertragung mit SSL
Frank Bensberg & Lofi Dewanto
in: Linux Enterprise 2/2000
SSL-Apache-, OpenSSL- und SSLeay-Handbücher
www.cert.dfn.de/dfnpca/certify/ssl/handbuch/

Sicherheit auf der Netzwerkschicht (IPsec)
http://einstein.offis.uni-oldenburg.de/lehre/Seminar/SemSichWS99/07/index.html 

PC Professionell: Sicher über IP 
www.zdplanet.de/technik/artikel/nw/199902/ipsec_00-wc.html