Sie sind hier:
Datenschutz
- Hinweise zur Datensicherheit
- Sicherheit im Internet
- Authentifizierung
- Vertraulichkeit der Daten
- Integrität der Daten
- Die Verschlüsselungstechnik
- Zertifikat
Zum Schutz der personenbezogenen Daten vor unberechtigtem Zugriff und Missbrauch durch Dritte haben wir umfangreiche technische Sicherheitsvorkehrungen getroffen. Unsere Sicherheitsverfahren werden regelmäßig überprüft und entsprechen dem Stand der Technik.
Hinweise zur Datensicherheit:
Die sichere Übertragung und Verarbeitung Ihrer persönlichen Daten garantiert Ihnen das Sicherheitskonzept für den Betrieb der Online-Antragsverfahren. Die einzelnen Aspekte stellen wir Ihnen nachfolgend vor:
Sicherheit im Internet
Eine Firewall trennt die Anwendung vom allgemein zugänglichen Internet. Die Firewall besitzt Mechanismen, die wie ein Filter eingesetzt werden. Es gelangen ausschließlich Daten in diese Anwendung, die für die Bearbeitung benötigt werden. Ein unautorisierter Zugriff auf die Anwendung aus dem Internet ('Hacking') wird hierdurch wirkungsvoll verhindert.
Authentifizierung
Damit Sie die Sicherheit haben, dass Sie tatsächlich mit www.elsa.nrw.de bzw. www.egon.nrw.de verbunden sind, identifiziert sich die Website automatisch mit Hilfe eines Zertifikats.Das Zertifikat wird von Ihrem Computer automatisch überprüft, bevor er Daten an www.elsa.nrw.de bzw. www.egon.nrw.de schickt. Dieses Zertifikat wurde von einer unabhängigen, vertrauenswürdigen Organisation (Zertifizierungsstelle) ausgestellt und enthält unter anderem die Internet-Adresse des Web-Anschlusses, mit dem Sie verbunden sind.
Vertraulichkeit der Daten
Die gesamte Kommunikation zwischen Ihnen und der Anwendung unter www.elsa.nrw.de bzw. www.egon.nrw.de findet in verschlüsselter Form statt. Dabei wird ein Schlüssel verwendet, der nur Ihrem Rechner und dem Webserver bekannt ist. Für mögliche Mithörer sind die verschlüsselten Nachrichten lediglich eine bedeutungslose, scheinbar zufällige Folge von Zeichen. Selbst wenn jemand diese Nachrichten abhören sollte, ist ausgeschlossen, dass er oder sie verwertbare Informationen herausziehen kann. Der bei www.elsa.nrw.de bzw. www.egon.nrw.de verwendete Schlüssel hat eine Länge von 128 Bit.
Integrität der Daten
Aufgrund der Verschlüsselung kann niemand außer Ihnen und dem Webserver, auf dem die Anwendung liegt, die Bedeutung und den Inhalt Ihrer Nachrichten verstehen. Die Änderung Ihrer Nachricht wird durch Verwendung des Secure-Socket-Layer-Protokolls (SSL) ausgeschlossen. SSL garantiert die Integrität von Nachrichten durch einen Message Authentication Code (MAC), eine Art Prüfsumme, die zusammen mit der Nachricht übertragen wird. Veränderte Nachrichten werden an einem fehlerhaften MAC erkannt und zurückgewiesen.
Message Authentication Code (MAC)
Anhand eines MAC kann die Integrität (Unversehrtheit) der Nachricht überprüft werden. Diese Überprüfung kann wie folgt berechnet werden:
Es wird an eine Nachricht eine geheime Information angehängt, die nur dem Sender und dem Empfänger bekannt ist. Als eine geheime Information kann zum Beispiel der Session Key selbst verwendet werden. Aus der Nachricht plus der geheimen Information wird dann ein so genannter Digest berechnet, eine Art Prüfsumme. In SSL (Secure Sockets Layer - Protokoll) geschieht dies z.B. mit Hilfe des MD5-Algorithmus. Der Digest hat folgende Eigenschaften: (1) Vom Digest können keine Rückschlüsse auf die Eingangsinformation (Nachricht plus geheime Information) gezogen werden. (2) Schon eine leicht veränderte Nachricht führt auf einen völlig anderen Digest. Der Digest wird als Message Authentication Code mit der Nachricht zum Empfänger übermittelt. Aufgrund seiner Eigenschaften schützt er die Nachricht vor Veränderungen. Wenn jemand die Nachricht verändert, ohne den Digest neu zu berechnen, wird dies sofort vom Empfänger bemerkt, weil der Inhalt des Digest nicht mehr identisch ist. Eine korrekte Neuberechnung des Digest ist aber niemandem möglich, der nicht die geheime Information kennt.
Die Verschlüsselungstechnik
Die Kommunikation zwischen Ihrem Rechner (Client) und dem Webserver basiert auf dem Secure-Socket-Layer-Protokoll (SSL). Unter SSL kommen zwei Arten der Verschlüsselung zum Einsatz.
Symmetrische Verschlüsselung
Sender und Empfänger besitzen den gleichen Schlüssel. Nachrichten werden mit demselben Schlüssel verschlüsselt und wieder entschlüsselt. Der Schlüssel darf nur dem Sender und dem Empfänger bekannt sein und muss daher über einen sicheren Kanal ausgetauscht werden.
Asymmetrische Verschlüsselung
Hierbei wird ein Schlüsselpaar verwendet, das aus einem öffentlichen und einem privaten Schlüssel besteht. Eine Nachricht, die mit dem einen Schlüssel verschlüsselt wurde, kann nur mit dem jeweils anderen Schlüssel entschlüsselt werden. Der Vorteil der asymmetrischen Verschlüsselung ist, dass einer der Schlüssel nicht geheim gehalten werden muss. SSL verwendet asymmetrische Verschlüsselung nach dem RSA-Verfahren. RSA steht für die Erfinder des Verfahrens, Rivest, Shamir und Adleman.
Die asymmetrische Verschlüsselung ist jedoch - im Vergleich zum symmetrischen Verfahren - deutlich langsamer. Sie wird deshalb nur zum sicheren Austausch eines symmetrischen Schlüssels, des Session Keys, verwendet. Alle Kunden- und Transaktionsdaten werden dann mit Hilfe des Session Keys verschlüsselt. Im einzelnen wird unter SSL eine sichere Verbindung auf folgende Weise hergestellt:
Herstellen einer sicheren Verbindung
- Der Client teilt dem Server mit, dass er eine Verbindung aufbauen möchte.
- Der Server schickt dem Client seinen öffentlichen Schlüssel. Dieser Schlüssel wird im folgenden zur Übertragung des Session Keys verwendet. Damit der Client sicher sein kann, dass der öffentliche Schlüssel tatsächlich von www.elsa.nrw.de bzw. www.egon.nrw.de stammt, schickt der Server den Schlüssel in Form eines Zertifikats. Das Zertifikat wurde von einer vertrauenswürdigen, unabhängigen Institution (Zertifizierungsstelle) ausgestellt und enthält neben dem öffentlichen Schlüssel des Servers Informationen, die www.elsa.nrw.de bzw. www.egon.nrw.de eindeutig identifizieren. Um die Echtheit und Integrität des Schlüssels zu garantieren, ist das Zertifikat mit dem privaten Schlüssel der Zertifizierungsstelle signiert. www.elsa.nrw.de bzw. www.egon.nrw.de verwendet Zertifikate der Firma Telesec nach ISO X.509-Standard.
- Der öffentliche Schlüssel von Telesec ist standardmäßig im Browser des Clients eingebaut. Der Browser verwendet diesen Schlüssel, um die Signatur des Zertifikats zu überprüfen. Gelingt diese Überprüfung, so ist die Echtheit des Zertifikats erwiesen.
- Der Client erzeugt mit Hilfe von Zufallszahlen einen Session Key. Der Session Key gilt nur für diese eine Verbindung. Der Client verschlüsselt den Session Key mit dem öffentlichen Schlüssel des Webservers, so dass er nur von diesem Server entschlüsselt werden kann.
- Der Client schickt den Session Key an den Webserver. Der Webserver entschlüsselt den Session Key mit Hilfe seines eigenen privaten Schlüssels. Damit ist der Aufbau der sicheren Sitzung abgeschlossen.
- Nun beginnt der eigentliche Nachrichtenaustausch zwischen Client und www.elsa.nrw.de bzw. www.egon.nrw.de. Alle Nachrichten dieser Verbindung werden mit Hilfe des symmetrischen Session Keys verschlüsselt und entschlüsselt. Um mögliche Veränderungen einer Nachricht während der Übertragungen erkennen zu können, wird jede übertragene Nachricht außerdem um einen Message Authentication Code (MAC) ergänzt.
- Am Ende der Verbindung wird der Session Key auf Client und Server gelöscht.
Schlüssellänge
Der Grad der Sicherheit einer Verschlüsselung hängt stark von der Länge der verwendeten Schlüssel ab. Die Standardschlüssellänge bei SSL ist 40 Bit. Schlüssel dieser Länge gelten jedoch inzwischen nicht mehr als ausreichend sicher. Um Ihnen und uns maximale Sicherheit zu garantieren, werden bei www.elsa.nrw.de bzw. www.egon.nrw.de alle Nachrichten zwischen Ihnen und dem Webserver mit 128 Bit verschlüsselt. Die Länge der asymmetrischen Schlüssel, die im SSL-Protokoll zur Übertragung des Session Keys verwendet werden, beträgt 1024 Bit.
Zertifikat
Ein Zertifikat ist eine Nachricht, die den öffentlichen Schlüssel des Absenders sowie Angaben enthält, die den Absender eindeutig identifizieren. Das Zertifikat wird von einer unabhängigen, vertrauenswürdigen Instanz, einer Zertifizierungsstelle, ausgestellt. Zum Nachweis der Echtheit ist das Zertifikat mit dem privaten Schlüssel der Zertifizierungsstelle signiert. Wenn es mit dem öffentlichen Schlüssel der Zertifizierungsstelle entschlüsselt werden kann, ist seine Echtheit erwiesen. Die Standard-Browser enthalten alle öffentlichen Schlüssel der wichtigsten Zertifizierungsstellen.
