Sicherheit im Internet aus Unternehmenssicht

Zeit: Don­ner­stag, 22. Sep­tem­ber 2005, 15.00 Uhr
Ort: HS 117
Mod­er­a­tion: Herr Dr. Thomas Lapp, Recht­san­walt und Medi­a­tor
Ref­er­enten: Herr Peter Knapp, Geschäfts­führer Interx­ion Deutsch­land GmbH
Herr Dr. Siegfried Stre­itz, EDV-Sachver­ständi­ger
Doku­mente: Pro­tokoll

A. Sicher­heit im Inter­net anhand von Beispie­len aus der Prax­is eines Sachver­ständi­gen

Sicher­heit im Inter­net wird von Seit­en der Unternehmen immer stärk­er als The­ma ernst genom­men. Zur Ein­führung in die aktuelle Sit­u­a­tion wird Dr. Stre­itz zunächst anhand von drei Prax­is­beispie­len aus sein­er Tätigkeit als öffentlich bestell­ter und verei­digter Sachver­ständi­ger für Infor­ma­tion­ssys­teme exem­plar­isch einige Risiken und Gefahren darstellen und Abhil­fe-Vorschläge empfehlen.

1. Gehak­ter Inter­net Shop
Der Täter erlangte Zugriff auf Inhalte und nutzte sie unter anderem dazu aus, gün­stigere Ange­bote an Kaufin­ter­essen­ten abzugeben. Der Beitrag skizziert das Vorge­hen des Täters und seine Über­führung in einem Ermit­tlungs-/Strafver­fahren. Die Schwach­stellen wer­den aufgezeigt und Empfehlun­gen an die Absicherung von Inter­net-Shops abgeleit­et.

2. Dialer
Ursprünglich als Micro­pay­ment-Form entwick­elt, geri­eten sie durch unser­iöse Anbi­eter in Ver­ruf. Eine Haupt­prob­lematik liegt in den Anforderun­gen an die Dialoggestal­tung mit ein­er entsprechen­den Kosten­in­for­ma­tion. Diese Anforderun­gen sind ger­ade über­ar­beit­et wor­den. Dr. Stre­itz wird darstellen, welche Risiken bei der Nutzung von Dialern beste­hen und welche neuen Anforderun­gen erfüllt wer­den müssen.

3. Iden­ti­ty Phish­ing
Der so genan­nte Iden­titäts­dieb­stahl ist eine Krim­i­nal­itäts­form mit starken Zuwach­srat­en- ins­beson­dere im Finanz­di­en­stleis­tungs­bere­ich spiegeln viele Seit­en Inhalte vor, die sie in Wirk­lichkeit nicht anbi­eten. Es sollen vielmehr Infor­ma­tio­nen, beispiel­sweise zu Kon­ten, gewon­nen wer­den. In diesem Zusam­men­hang sind die soge­nan­nten Umlaut- Domains in die Kri­tik ger­at­en, da sie weit­erge­hende Möglichkeit­en bieten, an per­sön­liche Dat­en zu gelan­gen. Dr. Stre­itz wird die Vorge­hensweise der Täter zeigen und wirk­same Gegen­maß­nah­men nen­nen.

B. NIFIS e.V. — Nationale Ini­tia­tive für Inter­net-Sicher­heit

Dies sind jedoch nur einige Beispiele. Um den ganzen Bere­ich der Sicher­heit im Inter­net für Unternehmen abzudeck­en hat sich ein Kon­sor­tium von Experten aus den unter­schiedlich­sten Branchen zusam­men gefun­den und die Nationale Ini­tia­tive für Inter­net-Sicher­heit (NIFIS e.V.) gegrün­det. Ziel ist es, Unternehmen zunächst hin­sichtlich der Risiken, die aus der Nutzung des Inter­net für geschäft­skri­tis­che Dat­en entste­hen, aufzuk­lären. Dann sollen den Mit­gliedern von NIFIS aber auch maßgeschnei­derte und prag­ma­tis­che Lösun­gen gegen die Angriffe aus dem Netz ange­boten wer­den. Auf­grund der Vielfalt der Grün­dungsmit­glieder wird das kom­plette Spek­trum der Inter­net- Sicher­heit abgedeckt.

Die strate­gis­che Aus­rich­tung von NIFIS basiert auf drei Säulen: Am Anfang ste­ht die Aufk­lärung und Beratung der Mit­glieder in Sicher­heits­fra­gen rund um das Inter­net durch das eigens dafür ein­gerichtete Kom­pe­tenzzen­trum. Im näch­sten Schritt kön­nen die Mit­glieds­fir­men von NIFIS präven­tive Maß­nah­men wie Online-Daten­sicherung, tech­nis­che Sicher­heitsser­vices, Dat­en- und Hard­ware­ver­sicherung und eine Haf­tungs­be­gren­zung bei Störun­gen des Geschäfts­be­triebes in Anspruch nehmen. Dazu kom­men Fire­wall, Spam- und Viren­schutz, Host­ing Ser­vices sowie ein Warn- und Infor­ma­tions­di­enst. Die dritte Säule des umfassenden Pro­gramms für Inter­net-Sicher­heit bilden ein Not­fall­team und Reak­tion­ssys­teme, die im Ern­st­fall ein­greifen und den Ver­lust unternehmen­skri­tis­ch­er Dat­en ver­hin­dern kön­nen. Darüber hin­aus wird NIFIS Hand­lungsempfehlun­gen abgeben und Stu­di­en erstellen um Unternehmen prax­is­na­he und umset­zbare Hil­festel­lun­gen mitzugeben.