PatentDe  


Dokumentenidentifikation DE102006008817A1 30.08.2007
Titel Sicherheitseinrichtung zur Internetbenutzung
Anmelder Deutsche Telekom AG, 53113 Bonn, DE
Erfinder Baumkötter, Manfred, 48346 Ostbevern, DE
DE-Anmeldedatum 25.02.2006
DE-Aktenzeichen 102006008817
Offenlegungstag 30.08.2007
Veröffentlichungstag im Patentblatt 30.08.2007
IPC-Hauptklasse H04L 9/00(2006.01)A, F, I, 20060225, B, H, DE
IPC-Nebenklasse H04L 12/26(2006.01)A, L, I, 20060225, B, H, DE   H04L 9/10(2006.01)A, L, I, 20060225, B, H, DE   H04L 12/24(2006.01)A, L, I, 20060225, B, H, DE   H04L 12/10(2006.01)A, L, I, 20060225, B, H, DE   
Zusammenfassung Die Erfindung betrifft eine Sicherheitseinrichtung 101, welche bei Internetbenutzung Angriffe von Dritten über das Internet verhindert, wobei diese als selbstständiges Gerät in die Internetverbindungsleitung 104, 104a eingeschleift wird und nach Aktivierung den Datenaustausch von einem Endgerät zum Internet überwacht und nur Verbindungen zu mindestens einem vorher genau bestimmten Ziel zulässt. Es werden IP-Adressen von Zielen mit einer vorgegebenen IP-Adressliste verglichen und Verbindungen nur zu bekannten Zielen zugelassen.

Beschreibung[de]

Die vorliegende Erfindung betrifft eine Sicherheitseinrichtung zum Verhindern von Angriffen Dritter bei Internetbenutzung.

Das sogenannte Internet stellt eine sich immer mehr vergrößernde Vernetzung von Rechnern oder Personalcomputern dar. Das Internet ist heute ein weltweites Netzwerk mit Millionen von angeschlossenen Computern, die über Telefon- und Standleitungen, über Satellitenverbindungen und Richtfunkstrecken Daten austauschen.

Mit der Größe des Netzes werden auch immer mehr Anwendungen verbreitet. Bei vielen neuen Diensten finden sicherheitsrelevante Verfahren, welche beispielsweise Geldtransaktionen betreffen, immer mehr Verbreitung.

Mit krimineller Energie ausgestattete Personen können, ohne in die Öffentlichkeit zu treten, an verborgenen Orten an Ihren Personalcomputern in Ruhe immer neue Methoden entwickeln und erproben, mit welchen sie die den Datenaustausch im Internet beeinflussen und sich selbst unzulässige Vorteile verschaffen.

Relativ einfach kann versucht werden, an Paßwörter oder andere vertrauliche Daten heranzukommen. So werden Emails verschickt, welche dazu auffordern, persönliche Daten an eine bestimmte, bekannt erscheinende Adresse zu schicken. Durch Betätigen eines zunächst vertraulich aussehenden mitgelieferten Links wird der Benutzer auf eine falsche Webseite geleitet. Durch geschickte Ausgestaltung etwa einer Kopie der Seite eines Bankunternehmens gelingen solche Täuschungsversuche offenbar häufig. Der Kunde glaubt auf den ersten Blick, mit seiner Bank verbunden zu sein, wird aber durch ähnlich aussehende Graphiken oder Domänennamen getäuscht. Diese Methode, auch „Phishing" (Kunstwort aus: Password-fishing) genannt, ist hinlänglich bekannt. Es kristallisiert sich nun eine andere, erheblich ausgefeiltere und effektivere Methode zum Abgreifen von empfindlichen Daten heraus. Bekannt ist die neue Methode unter dem Begriff „Pharming" (Kunstwort aus „Server-Farming", bezogen auf die für den Massenbetrug benötigten Server-Farmen der Betrüger).

Anders als beim Phishing landet hier bei einem erfolgreichen Angriff selbst ein Benutzer, der vorausschauend keinem falschen Link in einer Email folgt und statt dessen den Domänennamen von beispielsweise „bankhaus.de" per Hand im Browser eingibt, oder die Seite über einen fest gespeicherten Bookmark aufruft, auf einer falschen Seite. Diese Seite sieht dann zwar wie von dem Bankhaus aus und taucht auch als „bankhaus.de" in der URL-Leiste auf, residiert aber eigentlich auf dem Server eines Angreifers.

Hier wird die Auflösung von Namen zu IP-Adressen im Internet ausgenutzt. Wenn ein User eine Adresse (wie beispielsweise http://bankhaus.de/) eingibt, muß diese URL-Adresse in eine numerische Adresse wie etwa 255.99.144.80 konvertiert werden. Diese sogenannte Namensresolution führen DNS-Server (Domain Name System) durch, die dazu Tabellen von IP-Adressen und Domain-Namen verwalten. Wird nun eine falsche Zuordnung von IP-Adressen und Domain-Namen veranlaßt, baut der Rechner eine Verbindung zum falschen Ziel auf, ohne daß es der Benutzer bemerkt.

Durch geschicktes Einspielen von JAVA-Skripten ist es beispielsweise möglich, eine solche Täuschung durchzuführen. Auch durch Beeinflussung oder Änderung der sogenannten „hosts"-Zuordnungen, welche eine ähnliche Funktion wie ein DNS-Server haben, ist eine Täuschung möglich.

Kriminelle versuchen auch, in die DNS-Server einzubrechen und die dort lagernden "Webadressbücher" etwa durch das so genannte DNS-Cache-Poisoning zu manipulieren. Die IP-Adressen, die bestimmten Webadressen zugeordnet sind, werden dabei so geändert, daß der Surfer nicht mehr auf die gewünschte, sondern auf eine gefälschte Webseite geleitet wird. Die falschen Seiten befinden sich auf den Servern der Betrüger. Im Gegensatz zum für die Betrüger mühevollen Erkunden von Emailadressen und Anschreiben einzelner Benutzer ist beim Betrug über gefälschte DNS-Zuordnungen ein Massenangriff auf unzählige Benutzer mit relativ geringem Aufwand möglich.

Nun gibt es natürlich Möglichkeiten, hier Gegenmaßnahmen zu treffen. Bekannt sind sogenannte Firewall-Programme, welche den Datenaustausch von und zu am Internet angeschlossenen Rechnern überwachen. Da es sich hierbei aber um Software handelt, welche sich im Speicherbereich des Rechners befindet und dort abläuft, sind hier durch Manipulation von außen alle Möglichkeiten der Beeinflussung gegeben. Mit Emails übertragene lauffähige Virenprogramme können beispielsweise die Firewallfunktionen stören oder neutralisieren. Unbemerkt vom Benutzer können nicht autorisierte Personen am Rechner Eingriffe zu ihrem Vorteil vornehmen.

Es ist daher Aufgabe der vorliegenden Erfindung, die Nachteile des obenerwähnten Standes der Technik zu beseitigen und einen verbesserten Schutz vor Angriffen aus dem Internet zu schaffen

Diese Aufgabe wird dadurch gelöst, daß eine Sicherheitseinrichtung nach Aktivierung den Datenaustausch von einem Endgerät, etwa einem Personalcomputer, zum Internet überwacht und nur Verbindungen zu vorher genau vorbestimmten Zielen zuläßt.

Dies wird durch Vergleich der IP-Adressen der Ziele mit einer in der Sicherheitseinrichtung vorhandenen IP-Adressliste erreicht. Es können hierbei komplette Adressen überprüft werden oder Adressbereiche wie etwa Subnetzadressbereiche.

Um zu verhindern, daß Anfragen an den entsprechenden zuständigen DNS-Server unterbunden werden, kann auch die zugehörende Adresse in der Adressliste der Sicherheitseinrichtung aufgeführt sein.

Wird vom DNS-Server eine IP-Adresse ermittelt und zum Benutzer gesendet, wird diese zunächst mit den Listeneinträgen verglichen. Nur, wenn eine identische Adresse vorhanden ist, wird die Verbindung zu dieser Zieladresse aufgebaut.

Es ist auch möglich, daß in der Sicherheitseinrichtung zusätzlich zu einer erlaubten Zieladresse die zugehörige Subnetzmaske gespeichert wird und daß dadurch alle Zieladressen in dem Subnetz mit als erlaubt gelten.

Ein wesentliches Merkmal der Erfindung ist die Notwendigkeit, die Sicherheitseinrichtung zur normalen Internetnutzung manuell in den Aus-Zustand zu versetzen. Vorzugsweise ist vorgesehen, beim Anlegen der Stromversorgung immer sofort automatisch in den aktiven Ein-Zustand zu schalten. Dies kann auch während des Betriebes von Hand oder softwaremäßig erfolgen, beispielweise von einer Software zum Online-Banking. Ein softwaremäßiges Ausschalten ist hingegen nicht vorgesehen, dies erfolgt in jedem Fall von Hand an der Sicherheitseinrichtung selbst.

Zum Ein- und Ausschalten kann ein Schalter verwendet werden. Durch entsprechende Programmierung des Steuerrechners kann die Sicherheitseinrichtung auch bei Aus-Stellung des Schalters in den Ein-Zustand versetzt werden. Das Ausschalten ist dann etwa durch eine Betätigung des Schalters in die Ein- und zurück in die Aus-Stellung möglich. Eine einzelne Taste kann hier entsprechend mit einer auch softwaregesteuerten Flip-Flop Funktion eingesetzt werden. Die Funktion „Ein" kann manuell oder softwaregesteuert ausgeführt werden, die Abschaltung der Sicherheitsfunktion ausschließlich manuell durch Betätigung des Schalters oder der Taste.

Es ist auch möglich, als Schalteinheit je eine Taste für das Ein- und Ausschalten der Sicherheitsfunktion und eine entsprechenden Betriebssignalisierung zu verwenden, wobei die Funktion Ein manuell oder softwaregesteuert ausgeführt werden kann und die Abschaltung der Sicherheitsfunktion ausschließlich manuell durch die Betätigung der Aus-Taste erfolgt. Bei allen Realisierungen ist auch eine entsprechende Betriebssignalisierung vorgesehen.

Die Programmierung der IP-Adressliste kann von Hand mittels Terminalprogramm über die PC-Tastatur beispielsweise über die USB-Schnittstelle erfolgen. Hierüber kann auch gleichzeitig die Stromversorgung der Sicherheitseinrichtung erfolgen. Zur Sicherheit sind die Programmierfunktionen mit Schaltern, welche vor dem Programmieren zu betätigen sind, abgesichert. Es ist denkbar, daß die Sicherheitseinrichtung bei abgezogenen Netzwerk-Kabeln automatisch in den Programmiermodus wechselt.

Es ist auch an einen automatischen Programmier- oder Lernvorgang gedacht. Hier werden bei einer als sicher bekannten Verbindungsaufnahme zu einer Bank die angesprochenen IP-Zieladressen in der IP-Adressliste abgespeichert. Dies kann beispielsweise in einer Bank durch einen Mitarbeiter der Bank an einem sicheren Rechner erfolgen. Der Bankmitarbeiter aktiviert die Selbstlernfunktion durch Betätigen eines Schalters, führt eine Dummy-Buchung aus und deaktiviert die Selbstlernfunktion. Die Sicherheitseinrichtung hat nun alle für einen Buchungsvorgang bei dieser Bank notwendigen IP-Adressen gespeichert. Wenn der Benutzer nun die Sicherheitseinrichtung an seinem eigenen PC anschließt und aktiviert, sind ausschließlich Verbindungen zu dieser Bank möglich. Der Vorgang läßt sich in vergleichbarer Weise bei weiteren Banken durchführen, um für alle sicherheitsrelevanten Verbindungen sichere IP-Adressen zu speichern. Selbstverständlich läßt sich der Speicher auch noch manuell erweitern.

Beim Fehlschlagen des Vergleichs zwischen IP-Zieladresse und IP-Adressliste der Sicherheitseinrichtung kann zur Information des Benutzers über die USB-Schittstelle oder die über die Sicherheitseinrichtung verlaufende Netzwerk-Verbindung eine Alarmmeldung an den angeschlossenen Rechner abgegeben werden, welche beispielsweise als HTML-Seite im Internetbrowser angezeigt wird. Hier können dem Benutzer als Klartext die nicht erlaubten Ziele angegeben werden. Auch die Sicherheitseinrichtung selbst kann mit einem entsprechenden separaten optischen und/oder akustischen Signalgeber ausgerüstet sein. Sinnvoll ist hier weiterhin eine Information, daß zum Verbindungsaufbau zu nicht gelisteten, ggf. unsicheren Zielen, eine manuelle Abschaltung der Sicherheitseinrichtung erforderlich ist.

Weitere Einzelheiten der Erfindung werden in der Zeichnung anhand von schematisch dargestellten Ausführungsbeispielen beschrieben.

Hierbei zeigt die

1 die Anschaltung des Sicherheitseinrichtung an einem beliebigen Rechner eines Benutzers, in der Regel ein Personalcomputer, und die

2 den Aufbau der Sicherheitseinrichtung in Einzelnen.

Wie 1 zeigt, ist die erfindungsgemäße Sicherheitseinrichtung 101 im Grundprinzip in der Netzwerk-Verbindung 104, 104a (z.B. Ethernet) und einem Switch/Hub 103 angeordnet. Denkbar ist auch eine Anordnung der Sicherheitseinrichtung als integrativer Bestandteil anderer Geräte, wobei die Schalter ggf. per Kabel anzuschließen sind, wenn sich die Geräte nicht im direkten Zugriffsbereich des Benutzers befinden. Der Switch/Hub 103 ist seinerseits mit einem Router 106 verbunden, welcher über ein DSL-Modem 107 die Verbindung zum Internet herstellt. Selbstverständlich kann die Verbindung zum Internet auch entsprechend über eine ISDN-Wählverbindung erfolgen. Weiterhin ist denkbar, daß der PC 102 über die Sicherheitseinrichtung 101 direkt mit dem DSL-Modem 107 verbunden ist. Hierbei ist aber der geänderte Protokoll-Stapel zu beachten. Eine entsprechende Anpassung kann manuell per Konfiguration oder automatisch, beispielsweise durch die Auswertung des Type Fields erfolgen. Zusätzlich zur Ethernet-Verbindung kann noch die Verbindung 106 etwa von einer USB-Schnittstelle des Rechners 102 zur Sicherheitseinrichtung 101 vorhanden sein. Grundsätzlich kann die Sicherheitseinrichtung jedem PC vorgeschaltet werden.

2 zeigt schematisch den Aufbau der Sicherheitseinrichtung 101. Der Steuerrechner 201 sollte aus Kostengründen als Einchiplösung ausgeführt sein und bereits integrierte Speicher enthalten, welche zur Programmspeicherung und zur temporären Speicherung der IP-Adresslisten benötigt werden. Innerhalb der Sicherheitseinrichtung läuft die Internetverbindung über die RJ45-Buchse 203 und der Port-Anpassung 204 zum Steuerrechner 201. Im nicht aktivierten Zustand der Sicherheitseinrichtung wird die Verbindung in jedem Fall zur Port-Anpassung 208 und zur Ausgangsbuchse 209 durchgeschleift. Denkbar ist auch eine direkte Verbindung von 204208 bzw. 203209 mittels beliebiger Schaltmittel im nicht aktiven Zustand. Aktiviert man die Sicherheitseinrichtung durch Betätigen der Schalteinheit 211, werden die IP-Adressen in den Headern der Datenpakete mit einer im EEprom-Bereich 202 gespeicherten IP-Adressliste verglichen. Ist eine im Datenstrom vorhandene IP-Adresse nicht aufgeführt, wird die Verbindung gestoppt und über den Signalgeber 214 und/oder die Anpassung 207 und USB-Port 210 ein Alarmsignal ausgegeben. Zum Ermöglichen der Konfiguration der IP-Adresslisten ist aus Sicherheitsgründen ein separater Schalter 212 vorgesehen. So sind etwaige Angriffsversuche über den Rechner und die USB-Schnittstelle erheblich erschwert. Mit dem Schalter 213 wird die Sicherheitseinrichtung in einen Selbstlernmodus versetzt, wobei dieser vor der Kontaktaufnahme etwa zu einer Bank betätigt wird. Während einer Überweisung speichert die Sicherheitseinrichtung nun alle Ziel-IP-Adressen in einer Liste im EEprom-Speicher 202 ab. Nach Beendigung der Transaktion wird der Selbstlernmodus wieder deaktiviert, der Benutzer kann dann nach Betätigung des Schalters 211 im Sicherheitsmodus mit dieser Bank sicher kommunizieren. Der Selbstlernmodus ist allerdings nur bei einem mit Sicherheit virenfreien Rechner anzuwenden, bevorzugt direkt vor Ort in einer Bank. Die Stromversorgung der gesamten Sicherheitseinrichtung kann praktischerweise über die USB-Schnittstelle mittels einer Anpassung oder eines Spannungswandlers 205 erfolgen. Selbstverständlich ist auch eine Stromversorgung über ein separates Netzteil oder das Netzwerk (PoE-Power over Ethernet) möglich. Auch hierbei wir die Sicherheitseinrichtung beim Anlegen der Versorgungsspannung automatisch in den aktiven Status versetzt, um die Sicherheit vor Angriffen durch Fehlbedienung nicht zu gefährden.


Anspruch[de]
Sicherheitseinrichtung (101) zur Internetbenutzung zum Verhindern von Angriffen über das Internet durch Dritte, dadurch gekennzeichnet, daß diese als selbstständigen Gerät in die Netzwerk-Verbindung zum Internet (104, 104a) eingeschleift ist und nach Aktivierung den Datenaustausch vom Endgerät zum Internet überwacht und nur Verbindungen zu mindestens einem vorher genau bestimmten Ziel zuläßt. Sicherheitseinrichtung nach Anspruch 1, dadurch gekennzeichnet, daß diese durch eine Schalteinheit (211) manuell aktiviert und deaktiviert werden kann. Sicherheitseinrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Schalteinheit aus einer Taste oder einem Schalter für das Ein- und Ausschalten der Sicherheitsfunktion und einer entsprechenden Betriebssignalisierung besteht, wobei die Funktion Ein manuell oder softwaregesteuert ausgeführt werden kann und die Abschaltung der Sicherheitsfunktion ausschließlich manuell durch Betätigung des Schalters oder der Taste erfolgt. Sicherheitseinrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Schalteinheit aus je einer Taste für das Ein- und Ausschalten der Sicherheitsfunktion und einer entsprechenden Betriebssignalisierung besteht, wobei die Funktion „Ein" manuell oder softwaregesteuert ausgeführt werden kann und die Abschaltung der Sicherheitsfunktion ausschließlich manuell durch die Betätigung der Aus-Taste erfolgt. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß im Ein-Zustand der Sicherheitseinrichtung im Datenstrom zum Internet die IP-Adresse eines Zieles mit den Einträgen einer in der Sicherheitseinrichtung gespeicherten IP-Adressliste verglichen wird und bei fehlender Übereinstimmung keine Verbindung zur entsprechenden IP-Adresse erfolgt, wobei im Aus-Zustand keine Beschränkung des Datenverkehr erfolgt. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß in der Sicherheitseinrichtung zusätzlich zu einer erlaubten Zieladresse die zugehörige Subnetzmaske gespeichert wird und daß dadurch alle Zieladressen in dem Subnetz mit als erlaubt gelten. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die IP-Adresse mindestens eines DNS-Servers gespeichert wird um eine Verbindung dorthin aufzubauen. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß eine Programmierung über Standardschnittstellen von außen mittels eines angeschlossenen Personalcomputers möglich ist. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die Programmierung der Adressliste über eine USB-Schnittstelle erfolgt, wobei der Zugriff auf die Sicherheitseinrichtung erst nach Betätigen eines Freigabeschalters zur Konfiguration (212) möglich ist. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die Programmierung der IP-Adressliste durch einen Selbstlernvorgang während des Betriebes erfolgt, wobei sichere IP-Zieladressen selbstständig in den IP-Adresspeicher eingeschrieben werden. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die Sicherheitseinrichtung bei abgezogener Netzwerk-Verbindungsleitung (104, 104a) automatisch in den Programmiermodus wechselt. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß Alarmmeldungen beim Auftreten nicht in der IP-Adressliste aufgeführter IP-Adressen an den angeschlossenen Personalcomputer abgesetzt werden. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß eine Alarmmeldung als HTML-Seite in der Sicherheitseinrichtung gespeichert ist und daß diese Seite bei jedem Versuch, eine Verbindung zu einer nicht erlaubten IP-Adresse aufzubauen über die Netzwerk-Verbindung (104, 104a) und/oder USB-Verbindung (106) zum Browser des angeschlossenen Personalcomputers übertragen wird. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß Alarmmeldungen beim Auftreten nicht in der IP-Adressliste aufgeführter IP-Adressen über Signalgeber der Sicherheitseinrichtung selbst gegeben werden. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die Stromversorgung über eine USB-Verbindung (106) erfolgt. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die Stromversorgung über ein separatesNetzteil erfolgt. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß die Stromversorgung über die Netzwerk-Verbindung (104, 104a) erfolgt. Sicherheitseinrichtung nach einem oder mehreren der vorigen Ansprüche, dadurch gekennzeichnet, daß sie nach dem Anlegen der Stromversorgung automatisch in den Ein-Zustand versetzt wird und zur allgemeinen Internetnutzung zunächst manuell deaktiviert werden muß.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com