Fragen eines Laien

[Wasi]

Hallo zusammen,

ich arbeite an einer Arbeit, die die Sicherheit von Computernetzen aus geisteswissenschaftlicher Sicht zum Inhalt hat. Da meine Kenntnisse in punkto Computer nicht weit über die Bedienung von Office-Anwendungen hinausreichen, bin ich hier auf der Suche nach Antworten von Könnern. Ich hoffe, Ihr könnt mir ein paar grundlegende Fragen beantworten.

Angenommen, jemand ist an Daten einer Behörde interessiert. Wie kommt er da ran?
Vielleicht sehe ich das wirklich zu untechnisch, aber um an bestimmte Daten heranzukommen, müsste doch zumindest bekannt sein wo und wie die gespeichert sind, und ob darauf überhaupt ein Zugriff von extern möglich ist. Ist es technisch möglich das herauszufinden, wenn man beispielsweise lediglich die Homepage der Behörde kennt?
Um meine Frage mal etwas abstrakter zu formulieren: könnte man sagen es besteht ein Unterschied zwischen Vorbereitung und Durchführung eines 'Angriffs'? Welche Aspekte spielen für die Vorbereitung eine Rolle?

Ich hoffe Ihr könnt mir ein wenig weiterhelfen und ich nerve nicht mit meinem laienhaften Verständnis.
Besten Dank schon mal im voraus.

 

[derdicke]

sicher das du nicht an irgentwelchen dateien interessiert bist??

 

[Wasi]

Also ich beabsichtige nicht, in irgendwelche Rechner "einzubrechen" und Daten zu klauen. Ich suche einfach nur Antworten auf grundlegende Fragen, die sich mir im Zusammenhang mit dem Thema "Online-Kommunikation und politische Öffentlichekeit" stellen.
Hierbei geht es vor allem um den Bereich eGovernment. Bekanntlich werden ja große Bereiche der öffentlichen Verwaltung elektronisch nutzbar gemacht (zB BundOnline). Das geht dann von einfachen Formalitäten (KfZ, Meldewesen, usw.) bis zu komplexen Vorgängen (Bauplanungsrecht, pleibiszitäre Elemente). Ein Fernziel soll u.a. die elektronische Wahl sein. Dahinter steht u.a. die These, dass möglichst viel Information dem Bürger zugänglich sein soll, und die elektronische Kommunikation besonders für die politische Meinungsbildung geeignet ist. Eine zentrale Frage soll dabei aber die Sicherheit sein.
Deswegen möchte ich wissen inwieweit das berechtigt ist. Ich könnte mir vorstellen, daß es einfacher ist, Daten von einem Heim-Rechner zu "klauen" der über einen Internetzugang verfügt, als von einem Rechner einer Behörde. Und zwar allein aufgrund der Tatsache, dass man doch zunächst mal wissen muß wo die Daten (wie) gespeichert sind.
Deswegen meine Fragen: Ist diese Einschätzung richtig und besteht (über Internet) die Möglichkeit, herauszufinden wo Daten gespeichert werden.

 

[Brabax]

Jein, man kann sich im Inet austauschen und somit erfahren wo die Dateien sind die man evtl sucht. Aber man kann auch -ob nun öffentlich zugängliche oder versteckte Dateien - einfach selber nach den Daten suchen. Z.B. wenn jetzt eine Person im Netzwerk des Rathauses seiner Stadt wäre, hätte er ja einen Grund da hinein zu gehen, dann könnte er nach den Infos die er haben will in diesem Netzwerk suchen, und muss also nicht wissen wo diese Dateien sind. Es kommt auch immer darauf an, wie erfahren diese jene Person ist.

 

[Tec]

Antwort für einen Laien

Wenn die Online eingegebenen Daten den Weg zur Ziel-Datenbank finden dann kann man dies auch selbst herausfinden (mehr oder weniger). Als erstes schaut man mal zu welchem Server das ganze geht. Ein findiger Bösewicht würde nun schauen das er Zugang zu diesem Server erhält. Hat er diesen schaut er einfach nach wie das Netzwerk dahinter an diesen Server angebunden ist. So hangelt er sich von Server zu Server bis er den richtigen findet welcher die eingegebenen Daten verwaltet. Das war jetzt mal ziemlich simpel ausgedrückt.

 

[Chris]

Ich denke, in diesen Thread gehört noch der Begriff "Social Engineering". Das bedeutet, den Datendiebstahl durch z.B. Einschleusen eines "Maulwurfs" o.ä. ins Rathaus beispielsweise zu unterstützen.
Hätte man einen "Bekannten" innerhalb der entsprechenden Behörde, so könnte er dort ein Programm installieren, welches einen Zugriff von Außen ermöglich oder eben gleich selbst die Daten suchen.

Allgemein denke ich, dass die Chance wie auch die Art und Weise an Daten zu kommen immer stark vom jeweiligen Administrator des Datensystems abhängt und wie dieser die verschiedenen Sicherheitsfragen handhabt.

 

[nowonda]

...beispielsweise lediglich die Homepage der Behörde kennt?

Da Behörden ihre Website "selten" bei einem Hoster unterbringen, kann man über die Website schonmal das OS des Webservers herausfinden. Lass mich da mal raten: Unix?

Da diese Seiten eine häufige Aktualisierung erfahren, ist es "wahrscheinlich", dass der Webserver im Netzwerk dieser Behörde hängt, und ständig im Kontakt mit anderen Behördenrechnern steht...

Den weiteren Teil der Kette kannst Du Dir mit ein wenig Phantasie schon selbst vorstellen, oder werf einen Blick auf Tec´s letzte Antwort

@ Chris

hab´ ich da einen ironie-tag überlesen?

cu

nowonda