Am Donnerstag, 1. April, veranstaltet der Fachbereich Informatik der Georg-Simon-Ohm-Fachhochschule Nürnberg einen Workshop zum Thema IT-Security. Diplom-Informatiker (FH) Heiko Richler - im Fachbereich verantwortlich als Webmaster und für Internetanwen-dungen - informiert bereits vorab über wichtige Sicherheitsdetails von Computersystemen:
Hacker-Angriffe finden ständig auf alle Rechner im Internet statt. Firmen und Hochschulen sind dabei besonders verlockende Ziele, da sie über einige Rechenleistung, viel Speicherplatz und breitbandige Netzanbindungen verfügen. Firmen berichten nur selten von erfolgreichen Angriffen von außen, in Hochschulen hingegen sind zahlreiche erfolgreiche Attacken bekannt. Viele Institutionen, die sich sicher wähnen, haben die Eindringlinge nur noch nicht bemerkt. Nachfolgend soll eine Schwachstelle in gängigen Sicherheitskonzepten aufgezeigt werden, nämlich die Authentifizierung der Benutzer am Rechner. Dies soll auch für Laien verständlich werden und helfen, dem Ziel höherer Sicherheit näher zu kommen.
Um sichere Systeme erreichen zu können, betrachten wir zunächst, wie sich Benutzer an Rechnern anmelden. Wenn sie sich mit Benutzernamen und Kennwort an einem Rechner authentifizieren, wird dieser die Angaben überprüfen. Dazu schlägt er in seiner Datenbank unter dem Benutzernamen nach und bekommt von dort das hinterlegte, jedoch mit einer Einwegfunktion verschlüsselte Passwort. Derartige Funktionen liefern bei dem selben Kennwort immer das selbe Ergebnis, jedoch ist es umgekehrt nicht möglich, zu einem Ergebnis das Kennwort zu ermitteln. Um also das eingegebene Kennwort zu überprüfen, wird auch dieses durch die selbe Einwegfunktion umgewandelt und mit dem gespeicherten Ergebnis verglichen. Sind beide gleich, ist das Kennwort richtig und der Benutzer erhält Zugang zum System.
Viren und Trojaner
Doch wie gelangen Hacker in unsere Rechner? Dazu können sie sich Programmen bedienen, die ähnlich wie Viren arbeiten. Einfach ausgedrückt sind Computer-Viren Programme, die auf Rechnern ausgeführt werden, ohne dass dies von den Besitzern gewollt ist. Dazu werden zum Beispiel Sicherheitslücken der Betriebssysteme oder von Internetbrowsern (etwa Netscape Navigator oder Internet Explorer) ausgenutzt oder unbedarfte Benutzer dazu gebracht, das Programm auszuführen (auch Social-Engineering genannt).
Mit den selben Methoden schleusen auch Hacker ihre Programme ein. Ein Beispiel dafür sind Trojanische Pferde bzw. Trojaner (benannt nach dem Trojanischen Pferd aus Homers Ilias). Diese eröffnen dem Eindringling neue Angriffsmöglichkeiten. Eine davon besteht darin, alle Eingaben der Benutzer zu protokollieren (so genannte Key-Logger). In solchen Protokollen findet der Angreifer unter anderem Kennwörter und Benutzerkennungen aller Personen, die sich in der Zwischenzeit an dem befallenen System authentifiziert haben.
Bekannte Trojaner werden von den gängigen Antivirenprogrammen gefunden. Ähnlich den Viren treten jedoch häufig neue Varianten auf, so dass es keinen absoluten Schutz geben kann. Außerdem kann es vorkommen, dass für einen speziellen Angriff ein eigener Trojaner entwickelt wird. Wurden auf diesem Weg uneingeschränkte Rechte an einem System erschlichen, können Hacker ihre Trojaner wieder entfernen, um Spuren zu verwischen.
"Typische" Passwörter sind gefährlich
Weiterhin können Angreifer auch Zugriff auf die Benutzerdatenbank bekommen. Da die Kennwörter mit einer Einwegfunktion geschützt sind, können sie nicht entschlüsselt werden. Hier vertraut der Hacker auf typische Verhaltensweisen der Benutzer. Viele verwenden Begriffe aus ihrem Umfeld, so etwa die Namen von Verwandten, Orten, historischen Persönlichkeiten oder auch von Chemikalien und Medikamenten. Dies kann ausgenutzt werden, in dem der Angreifer alle Wörter aus einem Lexikon ver-schlüsseln lässt und mit den gefundenen verschlüsselten Passwörtern vergleicht. Auf aktuellen PCs können mit dieser Methode Millionen Wörter in wenigen Stunden überprüft werden. Hat der Angreifer die Benutzerdatenbank kopiert, benötigt er dazu nicht einmal mehr Zugang zum befallenen System.
Im Internet gibt es diverse Programme, die diese Lexikonangriffe automatisch vollziehen und typische Ergänzungen an den Wörtern, wie zum Beispiel den aktuellen Monat oder Kombinationen von Wörtern mit trennenden Sonderzeichen, ausprobieren. Sie sind dabei erfolgreich! Es gibt Studien, wonach circa 25 Prozent aller verwendeten Kennwörter auf diesem Weg ohne Probleme erraten werden können. 25 Prozent aller Kennwörter bedeuten ein Viertel aller Benutzerkonten oder auch ein Viertel aller Fir-mengeheimnisse. Wer mag sich diesem Risiko aussetzen?
Was können wir tun?
Benutzernamen und Kennwörter sind immateriell, also können sie kopiert werden, ohne dass physikalischer Zugriff auf sie benötigt wird und ohne Spuren zu hinterlassen. Einen Wohnungsschlüssel dagegen kann man erst vervielfältigen, wenn man seiner habhaft wird. Für eine Chipkarte gilt das Gleiche; zudem lässt sie sich auch nur mit großem Aufwand duplizieren. Eine Chipkarte ist ein kleiner Prozessor in einer Plastikkarte. Anders als einfache Chip- oder Magnetkarten ist der Chip auf einer Authentifizierungs-Karte ein kleiner Computer. Dieser speichert kryptographische Schlüssel und be-herrscht die dazugehörigen Protokolle. Um sich mit einer solchen Karte an einem Rechner anzumelden, benötigt man zwar noch immer ein Kennwort, dieses ist jedoch ohne die Karte wertlos.
Die Authentifizierungs-Chipkarte verwendet Methoden zur asymmetrischen Verschlüs-selung aus der Kryptologie. Dabei werden zum Ver- und Entschlüsseln zwei verschiedene Schlüssel verwendet. Der eine muss geheim gehalten werden und dient zum Entschlüsseln und Signieren, der andere darf allgemein bekannt sein und codiert oder prüft die Signatur. Auf der Authentifizierungs-Karte selbst ist ein geheimer Schlüssel für den Benutzer hinterlegt. Dieser kann nicht ausgelesen werden.
Höhere Sicherheit durch Chipkarte und Passwort
Möchte sich nun ein Benutzer an einem Rechner anmelden, steckt er seine Chipkarte in das Lesegerät und aktiviert diese mit seinem Kennwort. Der Rechner übertragt eine Zufallszahl an die Karte, die wiederum diese Zahl signiert und die Signatur zurück an den Rechner schickt. Da nur mit dem echten, geheimen Schlüssel des Benutzers die richtige Unterschrift erzeugt werden kann, ist dies ein Beweis für die Authentizität der Karte und somit des Benutzers. Wenn ein Angreifer das Kennwort des Benutzers nun abhören sollte, benötigt er noch immer die Chipkarte. Dazu muss er auch diese entwenden. Ein solcher Diebstahl wird in der Regel nicht lange verborgen bleiben. In einem solchen Fall wird das Schlüsselpaar für ungültig erklärt und die Karte wertlos.
Workshop am 1. April
Mit diesem Vorgehen kann die Sicherheit beim Authentifizieren von Personen an Rechnern deutlich erhöht werden. Es wird sichergestellt, dass tatsächlich nur die berechtig-ten Personen Zugang zu ihren Daten erhalten. Wer sich für weitere Themen aus dem Gebiet der IT-Sicherheit interessiert, sollte den IT-Security-Workshop am Donnerstag, 1. April, in der Georg-Simon-Ohm-Fachhochschule Nürnberg (Keßlerplatz 12, Raum A525). Von 13:30 bis 17:00 referieren Experten der Fachhochschule über relevante Themen wie Windows-Security, Security bei Web-Applikationen, E-Mail-Sicherheit, innovative Penetrationstests und Logfile-Auswertung oder Sicherheit in Wireless-LAN. Die Teilnahme ist kostenlos, zusätzlich besteht die Möglichkeit, das Labor für Daten-kommunikation und IT-Sicherheit zu besichtigen. Der Fachbereich Informatik freut sich auf zahlreiche Besucher und bittet um Voranmeldung bei Frau Diane Bornemann (09 11 / 58 80 16 55; Diane.Bornemann@fh-nuernberg.de).
Details zu den mathematisch technischen Hintergründen der Einwegfunktionen und kryptologischen Verfahren findet sich im Buch "Introduction to Cryptography" von Prof. Dr. Hans Delfs, und Prof. Dr. Helmut Knebl, (http://cryptography.informatik.fh-nuernberg.de/) oder in "Sicherheit und Kryptographie im Internet" von Prof. Dr. Jörg Schwenk (http://www.joerg-schwenk.de/). Einen spannenden und auch für Laien ver-ständlichen Einblick in die Kryptologie gewährt "Geheime Botschaften" von Simon Singh.
Rückfragen zu dieser Meldung richten Medienvertreter an die Pressestelle der Georg-Simon-Ohm-Fachhochschule. Sie erreichen Pressesprecher Marc Briele telefonisch unter 09 11 / 58 80 41 01 oder via Mail an presse@fh-nuernberg.de. Weitere Infos erteilt zudem Diplom-Informatiker (FH) Heiko Richler (Telefon 09 11 / 58 80 11 85 oder Mail heiko.richler@fh-nuernberg.de).
Criteria of this press release:
Information technology
transregional, national
Miscellaneous scientific news/publications, Research projects
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).