Sicherheitsrisiken mobiler Systeme für den M-Business-Einsatz und Aspekte einer angepaßten IT-Sicherheitspolitik
- Art: Diplomarbeit
- Autor: Kay Fiolka
- Abgabedatum: November 2002
- Umfang: 133 Seiten
- Dateigröße: 5,1 MB
- Note: 1,5
- Institution / Hochschule: Universität Hamburg Deutschland
- ISBN (eBook): 978-3-8324-6524-7
-
ISBN (Paperback) :
978-3-8324-6524-7 P - ISBN (CD) :978-3-8324-6524-7 CD
- Sprache: Deutsch
- Prämierung:
- Arbeit zitieren: Fiolka, Kay November 2002: Sicherheitsrisiken mobiler Systeme für den M-Business-Einsatz und Aspekte einer angepaßten IT-Sicherheitspolitik, Hamburg: Diplomica Verlag
- Schlagworte: IT-Sicherheit, Telematik, Mobilität, Rechnernetze, Netzwerk
In den Warenkorb
48,00 €
Diplomarbeit von Kay Fiolka
Einleitung:
Die verstärkte und intensivierte Nutzung mobiler Endgeräte durch Privatleute und insbesondere Unternehmen, wirft Fragen über die Sicherheit der Kommunikation und Datenhaltung auf. Viele unabhängig voneinander durchgeführte Untersuchungen, Einschätzungen und Umfragen zeigen immer wieder deutlich die Relevanz dieses Themas auf, so sei exemplarisch dafür die IBM-Information „Mobile Office“ erwähnt. M-Business kann und wird nach allgemeiner Auffassung erst dann auf breiter Basis eingesetzt werden, wenn die Sicherheit hinreichend gewährleistet werden kann.
Verschiedenste Verfahren zur Verbesserung der unterschiedlichen Sicherheitsaspekte, wie beispielsweise Vertraulichkeit und Datenintegrität, versuchen den zahlreichen Angriffsmethoden und -arten entgegenzuwirken.
Auch um die Gefahrenpotentiale, Verhaltensweisen und Gegenmaßnahmen für jeden Mitarbeiter offensichtlich zu machen, sollte zumindest jedes größere Unternehmen heutzutage eine geschriebene und ausformulierte IT-Security Policy haben. In Deutschland ist das allerdings bei ungefähr zwei Drittel der hier ansässigen Unternehmen nicht der Fall. Dieses Problem zu lösen ist jedoch nicht Gegenstand dieser Arbeit.
Diese Ausarbeitung untersucht, analysiert und beschreibt die prominentesten Technologien für Mobilkommunikation, zeigt welche Schwächen sie haben und welche Angriffsmöglichkeiten dazu bestehen. Sie soll zur Steigerung der Sensibilität gegenüber der ubiquitären Gefahr durch Angriffe und der bestehenden Sicherheitsdefizite der verwendeten Systeme beitragen. Durch die Aufführung der gängigsten Angriffe und ihrer Beschreibung soll dem Leser bewusst gemacht werden, wie einfach es potentiellen Angreifern bei fehlenden Sicherheitsvorkehrungen gemacht wird, unautorisiert Zugriff auf Informationen und Daten zu bekommen. Die Notwendigkeit einer gedanklichen Veränderung beim Einsatz mobiler Systeme in sicherheits-relevanter Umgebung wird zusätzlich durch die Beschreibung und Untersuchung ihres Einflusses auf IT-Security Policies verdeutlicht.
Diese Arbeit beinhaltet keine vollständige technische Beschreibung en detail der Technologien, Verfahren und Angriffe, statt dessen sollen die entscheidenden Kernpunkte benannt werden, die für die obige Zielerreichung notwendig sind.
Die Zielgruppe dieser Arbeit sind IT-Verantwortliche auf Managementebene, für die weniger das exakte Detail, sondern der wesentliche Zusammenhang wichtig ist. Ihnen soll die Möglichkeit gegeben werden, anhand dieser Arbeit einen umfassenden Einblick in die Technik und die Sicherheit bei der Mobilkommunikation zu gewinnen und die Auswirkungen des Einsatzes mobiler Systeme einschätzen zu können, um somit Veränderungen oder Ergänzungen ihres Sicherheitskonzeptes kompetent entscheiden zu können.
Die Theorien werden in einer Tiefe behandelt, die diese Arbeit auch für ein wissenschaftlich orientiertes Publikum interessant machen sollte.
Sie nutzt das streckenweise weit fortgeschrittene Wissen in umfassenden Bereichen wie der Kryptographie, der Protokolle, Angriffsabwehr und anderen tangierenden Themen.
Gang der Untersuchung:
Die Gliederung der Arbeit ergibt sich aus dem Ziel heraus, zuerst ein grundlegendes Verständnis für die Thematik zu erzeugen, danach den hauptsächlichen Gegenstand der Arbeit, die mobilen Systeme, detailliert zu beschreiben, ihre bestehenden Schwachstellen aufzuzeigen, um dann die theoretischen Erkenntnisse anhand praktischer Beispiele zu manifestieren und den Gesamtbetrachtungsraum einer abschließenden Analyse zum Zwecke der Darstellung und Beschreibung gewonnener Erkenntnisse zu unterziehen. Im einzelnen werden in der Arbeit die folgenden Punkte behandelt:
Kapitel 2 stellt die in dieser Arbeit entscheidenden Begriffe wie Mobilität, M-Commerce, M-Business, Mobile Systeme, Dienste und das Thema Sicherheit kurz und prägnant vor, um ein grundlegendes Verständnis, das für den weiteren Verlauf der Arbeit notwendig ist, zu erzeugen.
Danach werden in Kapitel 3 die vorherrschenden Basistechnologien erläutert. Als erste Erklärung für die spezifischen Anforderungen bei mobilen Systemen wird auf die Charakteristika drahtloser Kommunikation per se eingegangen. Danach werden zum Zwecke eines grundlegenden Verständnisses die am häufigsten verwendeten Technologien, ihre Verfahren und Funktionsweisen beschrieben. Dazu gehören nicht nur die zugrundeliegenden Netze, sondern insbesondere auch die verwendeten mobilen Endgeräte und die Server. Dieses Kapitel ist angemessen detailliert geschrieben, da für den intelligenten Einsatz von Sicherheitsverfahren nicht nur das Produkt, sondern auch die Technologie auf der sie aufsetzen soll, verstanden sein muss. Durch ihre ausführliche Beschreibung soll zum einen die Basis für die Darstellung der Defizite in Kapitel 6 und zum anderen die Möglichkeit nicht nur zum Verstehen der Symptome, sondern auch der Ursachen geschaffen werden.
Das Kapitel 4 schließt dieses technische Basisverständnis in einem gesonderten Kapitel ab, in dem die besonderen Anforderungen mobiler Systeme an ein IP-basiertes Netz erläutert werden. Neben den aktuellen Entwicklungen wird auch auf die Absicherung der Kommunikation mittels IPSEC näher eingegangen.
Kapitel 5 beschreibt die verschiedenen Dimensionen der Sicherheit, die in jeweils unterschiedlichen Situationen auch eine unterschiedlich hohe kontextuelle Relevanz haben.
Kapitel 6 gibt nach einem allgemeinen Überblick über die Sicherheitsdefizite der Technologien eine Unterweisung in die Gefährdung der Sicherheit mobiler Systeme durch Vorstellung der Angriffe und der verwendeten Werkzeuge, ihrer Wahrscheinlichkeit und abschließend neben ihrem Einfluss auf die Sicherheitsdimensionen, die gängigsten Gegenmaßnahmen.
Kapitel 7 beschreibt mobile Systeme in der praktischen Verwendung eines Unternehmens, bei dem Sicherheitsentscheidungen bezüglich des Umgangs und der Soft- und Hardware anhand eines eingeführten Szenarios plausibel und greifbar gemacht werden.
Das Kapitel 8 stellt unter Zugrundelegung des aus den vorherigen Kapiteln erarbeiteten Wissens neben der problemorientierten Einführung in IT-Security Policies, eine Untersuchung der Auswirkungen durch den Einsatz mobiler Systeme, unter Berücksichtigung der möglichen Konfrontation von Sicherheit und Flexibilität, auf die IT-Security Policy dar.
Das diese Arbeit abschließende Kapitel 9, gibt neben einer Zusammenfassung noch einen sicherheitsbezogenen Ausblick auf die naheliegende Zukunft.
Inhaltsverzeichnis:
| 1. | Einleitung | 1 |
| 2. | Mobile Systeme, M-Business, Dienste und Sicherheit - ein begrifflicher Überblick | 5 |
| 3. | Basistechnologien mobiler Systeme | 15 |
| 3.1 | Grundlagen der Funkübertragung | 15 |
| 3.1.1 | Mehrwegeausbreitung von Signalen | 16 |
| 3.1.2 | Multiplexarten und Mehrfachzugriffsverfahren | 18 |
| 3.1.3 | Modulation | 19 |
| 3.2 | Trägersysteme/mobile Endgeräte | 20 |
| 3.2.1 | PDA - Personal Digital Assistant | 20 |
| 3.2.2 | Mobiltelefon/Smartphone | 21 |
| 3.2.3 | Wearables - tragbare Computer | 22 |
| 3.2.4 | Pager - Funkrufempfänger | 23 |
| 3.2.5 | Notebook/Laptop | 23 |
| 3.3 | Serversysteme für die Unterstützung mobiler Anwendungen | 24 |
| 3.4 | Betriebssysteme mobiler Endgeräte | 26 |
| 3.4.1 | Palm OS | 26 |
| 3.4.2 | Windows CE/Pocket PC | 26 |
| 3.4.3 | Symbian OS als Epoc32-Nachfolger | 27 |
| 3.5 | Nichtzellulare Kommunikationstechniken und -systeme | 28 |
| 3.5.1 | Bluetooth | 28 |
| 3.5.2 | WLAN nach IEEE 802.11 | 30 |
| 3.5.3 | Infrarot IrDA | 31 |
| 3.6 | Zellulare Kommunikationstechniken und -systeme | 31 |
| 3.6.1 | Technik zellularer Netze | 32 |
| 3.6.2 | GSM/HSCSD/GPRS/EDGE | 33 |
| 3.6.3 | UMTS | 39 |
| 3.6.4 | DECT | 42 |
| 3.7 | Netzwerktypen | 44 |
| 3.7.1 | Ad-hoc-Netzwerke | 44 |
| 3.7.2 | Infrastrukturelle Netzwerke | 44 |
| 4. | Mobilität in IP-basierten Netzen | 47 |
| 4.1 | Überblick über IP | 47 |
| 4.2 | Unzulänglichkeiten des IP-Protokolls | 49 |
| 4.3 | Mobile IP als Lösungsvariante | 50 |
| 4.4 | IPSEC - mit Sicherheit | 53 |
| 5. | Sicherheitsaspekte der Kommunikation | 55 |
| 5.1 | Exkurs in die Kryptographie | 55 |
| 5.2 | Gewährleistung der Authentizität | 58 |
| 5.3 | Vertraulichkeit | 59 |
| 5.4 | Verfügbarkeit | 59 |
| 5.5 | Integrität | 60 |
| 5.6 | Nichtabstreitbarkeit | 60 |
| 5.7 | Nichtleugbarkeit | 61 |
| 5.8 | Aufzeichnungsfähigkeit | 61 |
| 6. | Gefährdungen der Sicherheit beim Einsatz mobiler Systeme | 63 |
| 6.1 | Angriffsarten und -mittel | 63 |
| 6.1.1 | Angriffe durch maliziösen Code | 64 |
| 6.1.2 | Angriffe ohne maliziösen Code | 65 |
| 6.1.3 | Werkzeuge | 68 |
| 6.2 | Sicherheitsmodelle und -defizite drahtloser Kommunikationstechnologien | 68 |
| 6.2.1 | GSM | 68 |
| 6.2.2 | UMTS | 70 |
| 6.2.3 | DECT | 73 |
| 6.2.4 | Bluetooth | 74 |
| 6.2.5 | WLAN nach IEEE 802.11 | 76 |
| 6.2.6 | IrDA | 78 |
| 6.3 | Angriffswahrscheinlichkeit | 78 |
| 6.4 | Einfluß auf die Sicherheitsaspekte | 80 |
| 6.5 | Gegenmaßnahmen | 80 |
| 6.5.1 | Schulungen/Informationen | 81 |
| 6.5.2 | Biometrische Verfahren | 81 |
| 6.5.3 | Intrusion Detection System IDS/Firewall/Virusscanner | 82 |
| 6.5.4 | VPN - Virtual Private Network | 84 |
| 6.5.5 | Verschlüsselung und Aufbau einer PKI - Public Key Infrastructure | 85 |
| 6.5.6 | Smartcards | 87 |
| 6.5.7 | IT-Security Policy | 87 |
| 7. | Sicherheitsoptimierungen am Beispiel eines Szenarios | 89 |
| 7.1 | Szenariobeschreibung | 90 |
| 7.2 | Sicherheitsanforderungen von M-Business-Anwendungen | 92 |
| 7.3 | Maßnahmen für den sicherheitsoptimierten Betrieb | 97 |
| 8. | Einfluß mobiler Systeme auf die IT-Security Policy | 105 |
| 8.1 | Probleme für den Erfolg einer IT-Security Policy | 105 |
| 8.2 | Besonderheiten mobiler Systeme | 109 |
| 8.3 | Wie beeinflussen mobile Systeme IT-Security Policies? | 113 |
| 9. | Zusammenfassung und Ausblick | 117 |
| 10. | Literatur- und Quellenverzeichnis | 121 |
Palm OS, in seiner neuesten Version 5.0, ist das am weitesten verbreitete Betriebssystem von allen. Es kann auf die größte Palette verfügbarer Applikationen zurückgreifen. Seit Anfang 2002 wird es nicht mehr von Palm direkt, sondern von der Firma PalmSource lizenziert. Mit der neuen multitaskingfähigen 32-bit-OS-Version ist der Wechsel, bei voller Abwärtskompatibilität für bereits programmierte Anwendungen, auf die ARM-Architektur vollzogen worden. Auch drahtlose Techniken wie Bluetooth, GSM und WLAN nach IEEE 802.11b werden von der neuen Version unterstützt. Als Investitionsschutz werden die neuen Geräte mit den alten auf dem Motorola 68kProzessor basierenden Geräten koexistieren. Für den Schutz der Softwareinvestitionen sorgt die "Palm Application Compatibility Environment" (PACE), die 68k-Befehle interpretiert und sie für ARM-Prozessoren lauffähig macht. Genauere Spezifikationen sind unter [Pal 02] zu finden. [...]
Inanspruchnahme eines Web-Services und gegebenenfalls deren Abrechnung geklärt werden. Jeder mögliche Dienst wie Kalender, Aktienkurse oder Terminplaner wird dabei als Dienstkomponente angesehen. Die entsprechenden Webseiten sollen zu eben diesen "Web Services" werden und damit wie normale Applikationskomponenten programmierbar und austauschbar werden. Ein Web Service ist dabei definiert durch die Menge der Funktionen, die er dem Kunden als API anbietet. HTTP stellt dabei das Transportprotokoll dar und XML/SOAP (Extensible Markup Language/Simple Object Access Protocol) ist für den Aufruf und die gemeinsame Kommunikationsbasis geplant. Ein daraus resultierender Dienst den MS dazu anbietet, ist der ".NET myServices". Sämtliche persönliche Informationen wie Terminplan oder Adreßbuch können dabei auf MS-Servern gespeichert werden. Angemeldet wird sich dabei nach den Vorstellungen von MS bei dem hauseigenen MS Passport-System, dem nach MS eine gewichtige Stellung in der Zukunft zukommen soll. Allerdings ist der Kampf um den Anmeldedienst noch nicht zu Ende gefochten, denn Passport hat bisher eher eine viel geschmähte Existenz durchlebt und die Konkurrenz arbeitet eifrig an Alternativen. Das Potential für die Bereitstellung einer weltweit genutzten und eindeutigen Identität im Netz ist dabei riesig. Ein Vorteil der Lagerung der Daten auf den MS-Servern ist, daß die Verfügbarkeit, sei man gerade am Desktop-PC oder mit PDA oder Handy unterwegs, geräteunabhängig gegeben ist. Dem Anwender ist dabei überlassen, welche Informationen er wem zugänglich macht. Richtig interessant wird der Dienst, genauso wie die gesamte Technologie, erst in einer vielgenutzten .NET- und speziell myServices-Umgebung. Beispielsweise könnte der Einzelhandel die Ankunft bestellter Ware an den Kunden per Nachricht melden und der würde die Nachricht je nach aktuellem Aufenthaltsort und genutzten Gerät sofort aufbereitet empfangen können. Was die Sicherheit betrifft, wird es eine Zertifizierung und Authentifizierung von .NETModulen geben. Des weiteren können die Zugriffsrechte begrenzt werden. Durch die zentrale Datenhaltung könnte theoretisch ein effizientes und verantwortliches Sicherheitsmanagement durchgeführt werden. Die Verfügbarkeit des Systems ist von essentieller Wichtigkeit. Als Konsequenz auf einen erfolgreichen Angriff auf diese Verfügbarkeit könnten sämtliche Nutzer beispielsweise weder Nachrichten lesen oder schreiben noch Termine und Adressen abrufen. Das Thema Sicherheit wird, so weit darf man wohl vermuten, einer der Pfeiler sein, mit dem die gesamte Technologie stehen oder fallen wird. Es sei an dieser Stelle darauf hingewiesen, daß auch wenn es den einen oder anderen Dienst bereits jetzt schon gibt, sie jedoch nur isolierte Insellösungen mit in der Regel proprietären Schnittstellen darstellen. [...]
Neben den Anwendungen, die im Peer-to-Peer-Netzwerk (P2P) ohne besondere Serversysteme ablaufen, gibt es auch Applikationen, die mit speziellen Serversystemen die Kommunikation mit MCDs ermöglichen und ihnen auf ihre besonderen Bedürfnisse und Anforderungen zugeschnittene Dienste zur Verfügung stellen. Nicht aus einer besonderen Vorliebe des Autors heraus, sondern aufgrund der vorherrschenden Marktdominanz von Microsoft-Produkten wird im folgenden insbesondere auf diese zur Erläuterung eingegangen. Selbstverständlich gibt es auch vergleichbare Produkte von anderen namhaften Herstellern. Zusätzlich zu den Möglichkeiten, die B2B (Business-to-Business) ermöglicht, ist für Firmen insbesondere der Bereich B2E (Business-to-Employee) interessant. Für die verschiedenen Möglichkeiten zur Termin-, Kalender- und Adreßverwaltung wie auch zur mobilen Verwendung von Datenbanken oder Projektmanagementprogrammen gibt es individuelle Server. Microsoft (MS) bietet mittlerweile eine ganze Reihe auf Windows 2000 aufbauender sogenannter .NET Enterprise Server an, die jeweils bestimmte Funktionen übernehmen [Mic 02a]. Erwähnenswert sind dort zum Beispiel neben dem MS Exchange Server als Möglichkeit des globalen Zugriffs auf Firmendaten auch der MS SQL Server für Datenbankzugriffe und der MS SharePoint Portal Server für die Suche, Freigabe und Veröffentlichung von Informationen im Intranet. Diese Server stellen ihre Dienste geräteunabhängig zur Verfügung und bereiten die Daten gerätespezifisch auf. Microsoft versucht mit seiner neuen .NET-Technologie, vergleichbar mit dem Sun Microsystems ONE-Projekt (Open Network Environment), einen neuen Quantensprung der interaktiven Kommunikation zu vollbringen. Einfach ausgedrückt versucht Microsoft mit der .NET-Strategie und speziell dafür zur Verfügung gestellten Werkzeugen, eine geräte- und plattformunabhängige Nutzung von Daten und Informationen über das Inter- und Intranet zu erreichen. Eine der entscheidenden Neuerungen im Zuge dieser Technologie, die allerdings schon heute im Einsatz ist, sind die "Web Services", von denen Scott McNeally, CEO von Sun Microsystems, einmal gesagt hat, daß sie für das Informationszeitalter dasselbe sind, was austauschbare Komponenten für die Industrialisierung waren [Tec 01a]. Hinter diesem Begriff stehen Dienste, die übers Internet auch von anderen Applikationen angesprochen werden können. Sie haben die Möglichkeit Daten zu liefern, die wiederum von den Applikationen weiterverwendet werden können. Sie stellen eine Art serverseitiger Anwendungen dar. Dafür gibt es dann standardisierte Methoden und Schnittstellen die abgerufen beziehungsweise angesprochen werden können. Selbstverständlich müssen dazu auch Fragen der Zugriffsrechte für die [...]
In den Warenkorb
48,00 €
Link zur Arbeit:
http://www.diplom.de/ean/9783832465247
Arbeit zitieren:
Fiolka, Kay November 2002: Sicherheitsrisiken mobiler Systeme für den M-Business-Einsatz und Aspekte einer angepaßten IT-Sicherheitspolitik, Hamburg: Diplomica Verlag
Schlagworte:
IT-Sicherheit, Telematik, Mobilität, Rechnernetze, Netzwerk
Entdecken Sie mehr zum Thema
