Das Internet in seiner heutigen Form ist das Ergebnis der Arbeit
zahlreicher Forschungs- und Universitätsinstitute, die ein
Interesse verband, die Möglichkeiten der Informationstechniken
für wissenschaftliche Kommunikation zu nutzen. Ganz zu Anfang
(in den siebziger Jahren) leistete eine Agentur (ARPA) des US-Verteidigungsministeriums
dafür einen finanziellen Beitrag. Und zwar, weil sich diese
im damaligen Kalten Krieg den Aufbau eines weltweiten Netzes versprach,
in welchem der Ausfall von Computern und der Verlust von Daten an
einem Ort infolge von Auswirkungen eines thermonuklear-elektromagnetischer
Angriffes (mittels einer Neutronenbombe) durch "Spiegelung"
(mirroring) an einem entfernten Ort kompensiert werden sollte.
Während die Nutzbarkeit des weiland ARPA-Netzes für eine
möglichst einfache wissenschaftliche Kommunikation im Vordergrund
stand, haben wesentliche Sicherheitsanforderungen keinerlei Rolle
gespielt. Vor allem solche Forderungen, die für vertrauliche
und zugesicherte Kommunikation bei wirtschaftlichen Anwendungen
von Bedeutung sind, wurden in Entwurf und Realisierung ausser Acht
gelassen:
Ist gewährleistet, dass die elektronische Kommunikation ihren
Empfänger auch erreicht? Können elektronische Dienste
"sicher" betrieben werden?
Ist sichergestellt, dass ein Absender nicht gefälscht werden
kann?
Kann man davon ausgehen, dass vertrauliche Kommunikation nicht von
unbefugten Dritten abgehört wird?
Ist sichergestellt, dass Nachrichten nicht abgefangen und gar ausgetauscht
werden?
Diese (sowie weitere) Fragen sind bei heutiger Technik leider sämtlich
mit "Nein" zu beantworten. Methoden der Adress-fälschung,
des Abhörens und des Abfangens, aber auch vielfältiger
Angriffe sind im Internet verfügbar, samt Einführung in
deren Nutzung. So darf es nicht verwundern, dass Netz-Unfälle
heute zur weltweit publizierten Tagesordnung gehören:
Elektronische Dienste wie E-Commerce und E-Banking werden durch
Dienstverweigerungsangriffe (DoS), sei es von einzelnen oder verteilten
Angreifern (DDoS) massiv behindert. Angreifer tarnen sich dabei
gegen Entdeckung durch Adressfälschung, und sie unterlaufen
auch komplexere Schutzmassnahmen.
Die Verarbeitung von Geschäftsdokumenten aller Art wird durch
massenhaft sich selbst verteilende "Würmer" gefährdet.
Vor allem "aktive Inhalte" wie Makros und Skripte, welche
die Verarbeitung solcher Dokumente erleichtern sollen, erweisen
sich als Einfallstor für Würmer wie "Melissa",
"I-Love-You" und "Kournikova" unter Microsoft-Systemen
sowie für den RAMEN-Wurm unter Linux. Diese Würmer sind
bisher nur selten zerstörerisch gewesen, jedoch ist ihr kriminogenes
und destruktives Potenzial längst nicht ausgeschöpft.
Bei der Verteilung solcher Würmer spielen unzureichende Anti-Mailwareprodukte
sowie mangelhafte Qualität der Netzadministration besonders
in grossen Unternehmen und Organisationen eine Schlüsselrolle.
Gegen die (Un)Sicherheiten des Internets helfen - zumindest teilweise
- aufwändige Kontrolltechniken, insbesondere "Firewalls"
mit eingebauten Filtern gegen Viren, Würmer, Trojanische Pferde
sowie gegen verschiedene Formen von manuellen und automatischen
Angriffen. Einbruchsentdeckende Systeme (IDS) unterstützen
die Entdeckung neuartiger Angriffe, allerdings zumeist erst "post
mortem". Mit Hilfe von Verschlüsselung und digitaler Signatur
sollen die Vertraulichkeit von Dokumenten sowie die Authentizität
eines Absenders sichergestellt werden.
Diese Sicherheitstechniken können allerdings sämtlich
mit mehr oder weniger aufwändigen Verfahren unterlaufen werden.
Um insgesamt die Risiken der unsicheren Internettechniken soweit
wie möglich zu beherrschen, ist ein auf das Unternehmen zugeschnittenes
Sicherheitskonzept erforderlich, dessen zuverlässige Durchsetzung
zur Verminderung der Internet-Gefahren eine wichtige - oft unterschätzte
- Rolle spielt.
