Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

29.09.2000 - 

Internet-Sicherheit/Start mit Verzug

Hohe Sicherheitsdefizite bremsen M-Business und M-Commerce kurz aus

GPRS (General Packet Radio System) ermöglicht in Mobilfunknetzen vollwertige Datenkommunikation. Mit WAP (Wireless Application Protocol) steht eine Web-konforme Protokollwelt zur Verfügung, die mobile Anwendungen in Fahrt bringt. Ausgebremst wird die Entwicklung nach Darstellung von Thomas Krampert* und Markus Bittner* jedoch durch fehlende Sicherheitsmechanismen.

Erst wenn die Sicherheitsmechanismen als Teil des WAP-Standards des W3C (World Wide Web Consortium) an das Niveau der festnetzgebundenen Kommunikation heranreichen, dürfte Bewegung ins M-Business kommen.

Im E-Commerce lassen sich fast alle Lücken normenkonform schließen. Beispielsweise schreibt die von der Arbeitsgruppe IP Security (IPSec) der Internet Engineering Task Force (IETF) standardisierte Paketstruktur zwischen IP Header und dem Original-Datenpaket ein weiteres Element vor, das die Datenintegrität sichern soll. Auch TLS (Transport Layer Security), vom IETF definiert, erlaubt den Kommunikationspartnern, eine sichere Ende-zu-Ende-Beziehung aufzubauen. Mit SSL (Secure Socket Layer), Version 3.0, ebenfalls von IETF, sind für eine gegenseitige Authentisierung die Verschlüsselungsverfahren (symmetrische und asymmetrische) und die dazugehörigen Schlüssel in hinreichender Stärke definiert. Ebenso geregelt ist die symmetrische Kodierung der Übertragungsdaten mit einer starken Verschlüsselung mit 112 Bit und mehr.

Auch eine Schnittstelle zur Integration einer CA (Certified Authority) innerhalb SSL 3.0 fehlt nicht. Damit kann im Rahmen einer Public Key Infrastructure (PKI) eine neutrale Zertifizierungsstelle über digitale Zertifikate prüfen, ob die Kommunikationspartner berechtigte Inhaber der Schlüssel sind. Berücksichtigt sind in SSL 3.0 zudem eine zeitliche Markierung von Transaktionen (Zeitstempel) sowie synchronisierte Transaktionsnummern. Sie schließen aus, dass einmal gesendete Informationen von Dritten eingespielt und so umgeleitet und manipuliert werden können.

In diesem Standard noch nicht definiert sind Prozeduren zur Auswahl der Verschlüsselungsverfahren und Schlüssellängen zwischen beiden Kommunikationspartnern. Auch fehlen Regeln, wie die Schlüssel zu erstellen, zu behandeln und zu speichern sind.

Hinter diesem insgesamt hohen Maß an Sicherheit hinkt die mobile Kommunikation weit hinterher. Statt einer sicheren Ende-zu-Ende-Beziehung zwischen zwei Kommunikationspartnern wartet die GSM-/GPRS-Verbindung lediglich mit einer Kodierung der Übertragungsdaten zwischen Handy und Mobilfunkturm auf. Danach endet der sichere Transportweg jedoch. Die Folge: Mitarbeiter von Carriern und Service Providern, die Zugang zu Verbindungen und Vermittlungsknoten haben, können beispielsweise die Geschäftsdaten der Unternehmen einsehen und manipulieren.

In der Authentisierung der Kommunikationspartner klaffen derzeit mit WTLS (Wireless Transport Layer Security) innerhalb des WAP-1.1-Standards weite Lücken. So bietet WTLS nur zwei Sicherheitsstufen, wobei das Standardisierungsgremium den Herstellern die Implementation der Sicherheits-Levels II sogar freistellt: Level I bringt die Verschlüsselung der Transferdaten ähnlich der ersten Version von SSL, demnach nur mit einer Schlüssellänge von maximal 56 Bit.

Level II dagegen lässt für die Authentisierung ausschließlich Server-Zertifikate zu. Damit ermöglicht selbst der Einsatz von Level II keine gegenseitige Authentisierung zwischen Handy und WAP-Gateway. Über Server-Zertifikate erfährt der mobile Teilnehmer lediglich, ob er mit dem richtigen WAP-Gateway verbunden ist. Die Authentizität des Einwählenden, ist dagegen nicht gesichert.

Zudem fehlt eine allgemein verbindliche Definition dafür, wie sich Verschlüsselungsprozesse und die dazugehörigen Schlüssel schützen lassen. Ebenso wenig regelt WTLS das Schlüssel-Management. Damit bleibt die Handhabung der Schlüssel für die mobilen Teilnehmer im Dunkeln. Zu alledem wird das Gros der Handy-Besitzer bis auf weiteres nicht einmal in den Genuss des bescheidenen WTLS-Sicherheitsniveaus kommen. Das liegt daran, dass die Hersteller bisher ihren Geräten keine Update-Möglichkeit verliehen haben. Zugang zu den WTLS-Funktionen haben mobile Teilnehmer also nur mit einem neuen WAP-1.1-fähigen Handy.

Zurzeit steht die neue WAP-Version 1.2 kurz vor der Verabschiedung. Sie berücksichtigt auch Client-Zertifikate für eine gegenseitige Authentisierung mit dem WAP-Gateway und zwar über Wireless Identification Modul (WIM). Dies soll auch die Authentizität des einwählenden mobilen Teilnehmers sichern. Mit WIM ist zudem die Auswahl verschiedener Verschlüsselungsverfahren und Schlüssellängen definiert, ebenso das Schlüssel-Management.

Hersteller von Handys müssten nun den neuen Standard in ihren Geräten umsetzen. Gleiches gilt für das kommende Jahr für PDAs und Palmtops. Es steht aber zu befürchten, dass die Anbieter zuerst das Geschäft mit WAP-1.1-Handys vorantreiben und erst ab Mitte 2001 mit der Vermarktung von WAP-1.2-Handys und dann auch von entsprechenden PDAs und Palmtops beginnen.

Doch selbst dann wird dem M-Business und M-Commerce gegenüber dem aktuellen Stand von SSL für E-Business und E-Commerce die wichtigste Sicherheitssäule fehlen: eine verlässliche Authentisierung der Kommunikationspartner über digitale Zertifikate, dazu wichtige PKI-Funktionalitäten wie Zeitstempel und synchronisierte Transaktionsnummern. Denn nur Mechanismen dieser Art wecken beim Konsumenten das notwendige Vertrauen. Wie sehr der wirtschaftliche Erfolg von einem vertrauenswürdigen Sicherheitskonzept abhängt, müssen derzeit fast alle E-Commerce-Anbieter erfahren. Sie kommen über einen geringen prozentualen Anteil an Geschäftsabschlüssen im Verhältnis zur Gesamtzahl der Seiten-Hits nicht hinaus.

Für eine sichere PKI greift WIM schon deshalb zu kurz, weil die Schlüssel weiterhin statt geschützt in der Subscriber Identity Module-Karte (SIM) offen für Manipulationen im Speicher des Handys residieren. Andererseits lässt WIM keine Adressierung eines zweiten Slots im mobilen Endgerät zu, über den sich der Verschlüsselungsprozess und die dazugehörigen Schlüssel sicher auf einer Chipkarte hinterlegen ließen. Die Voraussetzungen für eine verlässliche PKI für mobile Systeme sollen erst mit WAP 1.3 festgelegt werden, das vermutlich Mitte 2001 in Kraft tritt.

Allzu viel Zeit sollten sich die Entscheider dennoch nicht nehmen, weil eine Multikanal-/Crosskanal-fähige Architektur, die beide Welten gleichermaßen mit interaktionsfähigen Services bedient, so schnell wie möglich auf den Weg gebracht werden muss. Eine leistungsfähige Middleware im Backend und Extensible Markup Language (XML) als bindendes Glied im Frontend spielen dabei einige wichtige Rolle.

Außerdem haben Markt- und Technologiekenner keine Zweifel am generellen Trend ins mobile elektronische Geschäft. So geht Durlacher Research, London, davon aus, dass sich der Umsatz in Europa auf der mobilen Schiene von derzeit rund drei Milliarden Euro pro Jahr bis Ende 2003 auf 30 Milliarden Euro verzehnfachen wird. Und die Analysten der englischen ARC Group sehen bereits Ende 2002 weltweit mehr mobile als festnetzgebundene Geräte beim elektronischen Geschäft mitmischen.

*Thomas Krampert ist Leiter Kompetenz-Center bei der Management- und Technologieberatung Gora, Hecken & Partner mit Zentrale in Sulzbach bei Frankfurt am Main. Markus Bittner ist Berater bei Arthur Andersen.