Hinter den Kulissen

Technik und Sicherheit der Online-Dienste

Wissen | Hintergrund

Mitglied einer geschlossenen (Online-)Gesellschaft zu sein bedeutet nicht nur eine Zahlungsverpflichtung. Man bewegt sich in einer organisierten Struktur, die gegen Angriffe von außen geschützt ist. Die Teilnehmer agieren nicht anonym, sondern können für ungebührliches Verhalten zur Rechenschaft gezogen werden. Das schafft eine Vertrauensbasis, auf der Online-Banking und -Shopping besser gedeihen als im Internet.

Online-Dienste haben es nicht leicht. Während im Internet Tausende von Entwicklern teilweise ehrenamtlich an neuen Standards und neuer Software stricken, müssen sie einen Stab teurer Entwickler finanzieren, der kaum mit der Arbeitswut der engagierten Übermacht schrittzuhalten vermag. Zudem sitzen die Dienste auf Altlasten wie Klötzchengrafik, die sie einfach nicht loswerden. Und als ob das nicht genügt, schreien ihre Kunden nach immer mehr Geschwindigkeit und drohen mit dem Absprung ins Internet.

Doch die Erfolgsgeschichte von AOL hat bewiesen, daß man auch mit proprietärer Technik gegen das Internet bestehen kann. Auch der deutsche Marktführer T-Online behält seine eigenen Standards bei und trennt - zumindest vorerst noch - streng zwischen eigenem Dienst und Internet. Demgegenüber ist CompuServe und MSN, den beiden Diensten, die zunehmend mit dem Internet verschmelzen, weniger Erfolg vergönnt. Offenbar lohnt es sich also, ein eigenes Süppchen zu kochen.

Gänzlich auf selbsterfundene Rezepte verläßt sich dabei AOL. Angefangen beim Zugangsprotokoll über die EMail- und die News-Abwicklung bis hin zur Darstellung der Inhalte bewegt sich der Online-Dienst fernab eingetretender Pfade. Als Begründung wird hierfür Geschwindigkeit und Sicherheit angegeben (‘PPP ist zu unsicher’). Dazu läßt sich wenig sagen, da die technischen Einzelheiten der proprietären Protokolle besser gehütet sind als die Mixtur eines polynesischen Aphrodisiakums.

Die Zentrale von AOL befindet sich in Washington, wo gleich zwei gekoppelte Rechenzentren die Inhalte des Dienstes vorhalten. Sie stehen mit dem Rest der Welt über rund 30 T3-Leitungen (je 45 MBit/s) in Verbindung. Das ist zum einen das Internet, zu dem der Übergang an beiden Küsten (MAE-East und MAE-West) erfolgt, und die eigene Infrastruktur des Dienstes.

Diese ist gut ausgebaut. In Deutschland besteht sie aus 70, allesamt ISDN-fähigen Einwahlpunkten. Über das dahinterliegende Leitungsnetz schweigt sich AOL jedoch beharrlich aus. Das deutsche Rechenzentrum, wo alle Daten zusammenlaufen und auf den Weg in die USA gebracht werden, befindet sich derzeit noch beim Mutterkonzern Bertelsmann in Gütersloh, soll aber nach Hamburg in die Zentrale des Online-Dienstes umziehen.

Windows-Anwender sind auch bei der reinen Internet-Nutzung auf die spezielle Winsock-DLL (Standardschnittstelle zu Internet-Software) der Zugangssoftware angewiesen. Immerhin soll es diese jetzt endlich auch in einer 32-Bit-Version geben, so daß man auch Web-Browser für Windows 95 und NT benutzen kann. Daneben erhalten lediglich noch Mac-Anwender Zugang zur AOL-Welt.

Auch bei CompuServe ist nur wenig über technische Details zu erfahren. Der Online-Veteran ist selbst sein bester Kunde: Die Infrastruktur von CompuServe Information Services (CIS) stellt CompuServe Network Services (CNS) bereit. Die kleinere Schwesterfirma kam jüngst ins Gerede, als über den Verkauf des Konzerns gemutmaßt wurde: Sie fährt im Gegensatz zum Online-Dienst Gewinn ein.

CIS rühmt seine eigene Infrastruktur, die wie AOL nur in den USA Übergänge zum Internet besitzt, als sehr sicher. Im Gegensatz zum Internet, wo die Daten durch viele Hände gehen, sei das hauseigene Netz ganz in der Hand von CNS. Und die managen in den USA auch die Netze sehr sicherheitbewußter Kunden wie VISA. In der Tat spielt die Sicherheit für CIS eine große Rolle, denn ebenso wie bei T-Online erreicht man in dem Dienst kostenpflichtige Angebote, deren Nutzung über den Mitgliedsbeitrag verrechnet wird. Im Zuge der Verlagerung ins Internet benötigt CompuServe daher ein Verfahren, das auch hier eine sichere Authentifizierung garantiert.

Ein solches hat der Dienst unter der Bezeichnung RPA (Remote Passphrase Authorization) entwickelt. Grob beschrieben funktioniert RPA folgendermaßen: Der Client erzeugt aus Daten, die er vom Server erhält, und seiner eigenen Identifikation einen ‘virtuellen Schlüssel’ und schickt ihn an den Server, bei dem er sich anmelden möchte. Der packt einen eigenen virtuellen Schlüssel dazu und liefert beides bei einem Trust-Center (derzeit CompuServe) ab. Dort wird das Schlüsselpaar geprüft und registriert, welcher Benutzer den Dienst wann in Anspruch nimmt. Falls der Client berechtigt ist, erhält der Server ein ‘Ja’, andernfalls ein ‘Nein’. Das Verfahren benutzt einen Hash-Algorithmus (MD5), der nicht dem Krypto-Exportverbot der USA unterliegt. CompuServe hat es stolz als RFC veröffentlicht und die Benutzung freigestellt.

Auf seine spärlichen 13 eigenen Einwahlknoten darf CIS dagegen kaum stolz sein; zumal sie erst jüngst einheitlich auf V.34 und ISDN umgestellt wurden. Die flächendeckende Alternative über Datex-J ist derzeit aufgrund der V.32-Modems noch peinlich langsam, wird jedoch von der aktuellen Hardware-Umstellung bei T-Online auf V.34+ mitprofitieren. Alle Datenstränge laufen in der Münchener Zentrale zusammen, von wo es dann in die USA geht. Daten, die man von einem deutschen Web-Server lädt, müssen also wie bei AOL eine kleine Weltreise hinter sich bringen, ehe sie auf dem heimischen Browser erscheinen.

Abgesehen von RPA hat CIS wenig Aufregendes zu bieten: Bunte Grafiken gab es schon lange, früher haben sie als Hintergrundbilder die Ladezeiten verlängert, nun sollen sie auch als Werbeflächen Geld in die leeren Kassen des Dienstes bringen. Selbst einfache Neuerungen werden erst nach endloser Ankündigung realisiert. So können die Kunden erst jetzt ihre EMail mit gängiger Software aus dem Internet holen. Entgegen anderslautenden Versicherungen bereiten dabei Nachrichten von mehr als 2 MByte Umfang noch immer Probleme.

Als Microsoft zur Einführung von Windows 95 einen eigenen Online-Dienst ankündigte, brach in der Branche Panik aus; die US-Kartellbehörde sollte den Softwareriesen bremsen. Heute befindet sich MSN am unteren Ende der Mitgliederstatistik international operierender Dienste, und die Gemüter haben sich beruhigt. In Deutschland bewegen sich die Redmonder im Bereich der Bedeutungslosigkeit. Immerhin haben die anderen Dienste mit ihren Protesten erreicht, daß Microsoft auch die Zugangssoftware der Konkurrenz mit dem Betriebssystem bundlet.

MSN unterhält als einziger Dienst keine eigene Infrastruktur. Statt dessen benutzt er die Einwahlpunkte von Internet-Providern, in Deutschland sind dies EUnet und die Telekom. Damit verfügt der Dienst hierzulande als Internet-Makler über eine hervorragende Infrastruktur. Da Microsoft über UUnet an EUnet beteiligt ist, dürften sich die Kosten dafür im Rahmen halten.

Die MSN-eigenen Inhalte werden derzeit noch zentral im Datencenter in Redmond vorgehalten. Ende August sollen die für Europa angebotenen Inhalte jedoch nach London ausgelagert werden. Für deutsche Kunden wird dies eher von Nachteil sein, da Großbritannien über das Internet schlechter erreichbar ist als die USA. Als technische Basis für die eigenen Inhalte nutzt MSN selbstverständlich Active-X.

Die Redmonder planen, immer mehr Inhalte ins Internet zu verlagern (s. S. 136). Ein großes Problem stellt dabei das US-Exportverbot für sichere Verschlüsselungsverfahren dar. Zwar nutzt MSN für die Anmeldung ein solches Verfahren, dabei stehen die Authentifizierungsserver aber in den USA. Dies erklärt auch, daß man sich nach Änderung des Paßworts erst nach einigen Minuten wieder anmelden kann.

Ein sicheres Verfahren für die Anmeldung an beliebigen Web-Servern oder zum Bezahlen im Internet, wie es CompuServe entwickelt hat, fehlt Microsoft jedoch bislang. Unter dem Code-Namen Lilie wird angeblich ein solches entwickelt, doch ob sein Einsatz auch außerhalb der USA nach geltendem Recht möglich sein wird, ist noch ungewiß.

Der Kundenkreis des MSN-Dienstes ist auf Windows-95-Anwender begrenzt, da die Zugangssoftware nur dafür verfügbar ist. Wer MSN als Internet-Provider über einen PPP-fähigen Dialer nutzt, hat nicht einmal Zugriff auf seine EMail, da diese nicht über Standardprotokolle (SMTP/POP) zugänglich ist. Immerhin hat Microsoft angekündigt, die für Ende August geplante Version 2.5 der Zugangssoftware auch für NT (nur Intel) anzubieten. Eine Mac-Version ist hingegen nicht in Sicht.

Im Multimedia-Zeitalter wirkt die zeichenorientierte CEPT-Oberfläche des größten deutschen Online-Dienstes gelinde gesagt altbacken. Dennoch wird sie auch weiterhin für den hohen Wiedererkennungswert von T-Online sorgen. Zu viele Inhaltsanbieter haben Geld in die Entwicklung ihrer Seiten investiert, als daß man die Umstellung forcieren könnte. Umstellung bedeutet Wechsel zu KIT-Standard (Windows based Kernel for Intelligent Communication Terminals), das T-Online grafikfähig macht.

KIT entstand vor dem großen Internet-Hype. Die Telekom setzte damals große Hoffnungen in diesen Standard, doch der Siegeszug von HTML verhinderte seine Ausbreitung über die Grenzen von T-Online hinaus. KIT erweitert sowohl Server wie Client um jeweils eine Instanz. Die auf der Client-Seite benutzt das GUI-API von Windows zur Darstellung von Objekten, die ihr die Server-Instanz übermittelt.

Da die Verbindung zwischen den Instanzen bidirektional ist, kann der Client Ereignisse zurückmelden. So lassen sich Menüs, Dialoge oder List-Boxen realisieren. Neben solchen Elementen können KIT-Objekte aber auch Bitmapgrafik, Sound oder Video enthalten. Der Vorteil besteht darin, daß die Objekte auf der Festplatte des Zielsystems abgelegt werden. Beim zweiten Aufruf einer Seite müssen sie nicht erneut übertragen werden. Insbesondere wenn viele Seiten Standardelemente benutzen, lassen sich die Übertragungsseiten so minimieren. Dennoch bescherte die schwache Performance, als Ergebnis der niedrigen Übertragungsraten von T-Online, KIT einen schlechten Ruf.

Erst waren veraltete Modems an diesen niedrigen Übertragunsraten schuld, später gelang es T-Online nicht, der zunehmenden Internet-Nutzung und der wachsenden Benutzerzahlen Herr zu werden. Ende vergangenen Jahres führten dann Verbesserungen wie die Zuschaltung von Leitungen zwischen Ballungszentren und der Ulmer Zentrale sowie die Inbetriebnahme weiterer Gateways zum Internet zu einer geringen Entlastung.

Derzeit stellt T-Online seine Infrastruktur komplett um. Ab Ende dieses Monats, wenn die Softwareversion 2.0 die Nutzung der neuen Technik erlaubt, werden die Verbindungen zum Online-Dienst und zum Internet bereits am Einwahlpunkt getrennt. Bislang wurden die TCP/IP-Pakete ins Datex-J-Protokoll verpackt, in die Ulmer Zentrale geschickt, dort ausgepackt und zentral ins Internet eingespeist. Jetzt werden sie direkt über 2-MBit/s-Leitungen ins Internet-Backbone der Telekom eingespeist.

Dieses arbeitet mit 34 MBit/s, die Verbindung in die USA ist mit 102 MBit/s großzügig dimensioniert. Immer mehr große deutsche Provider suchen den Anschluß an das Telekom-Backbone, wie EUnet erst jüngst mit einer 2-MBit/s-Leitung. Die T-Online-Kunden dürfen daher mit einem recht schnellen Internet-Zugang rechnen (s. S. 126). Beim Zugriff auf den Dienst selber profitieren sie von der V.34+-fähigen Hardware (Ascend) an den 220 Einwahlpunkten und der Entlastung des Netzes vom Internet-Verkehr. Die letzten Herbst zugeschalteten Leitungen bleiben bestehen.

In puncto Sicherheit genießt T-Online einen untadeligen Ruf. Datex-J ist eine abgeschlossene Infrastruktur, auf die nur Mitarbeiter der Telekom Zugriff haben. Die Zugangssicherung über Anschlußkennung und Kennwort hat bislang allen Angriffen standgehalten. Auch der Übergang zu externen Rechnern, etwa Banken, gilt als sehr sicher. Zu den Bandbreiten dieser Übergänge schweigt sich T-Online aus; Gerüchten zufolge sollen jedoch immer noch 9600-Bit/s-Leitungen darunter sein. Fürs Home-Banking muß sich der Kunde bei der Bank ein zweites Mal authentifizieren. Diese hat Zugriff auf die Informationen, die der Kunde bei der Datex-J-Anmeldung angegeben hatte, und kann sie mit den Kundendaten vergleichen. Diese doppelte Sicherheit, die das Internet nicht bietet, hat sich bewährt.

Mit der neuen Software besteht gleichzeitige Verbindung zum Dienst und zum Internet. Ein beigelegtes KIT-Plug-in für Web-Browser weist den Weg in die Zukunft: Irgendwann soll der Zugang zu T-Online-Inhalten über das Internet möglich sein. Derzeit ist der Nutzwert allerdings auf einige Demos auf dem Web-Server von T-Online angewiesen. Ein CEPT-Plug-in wird es erst geben, wenn ein Weg vom Internet in den Dienst gefunden ist, der den beschriebenen Sicherheitsstandard bietet.

Die Online-Dienste beweisen, daß die Internet-Techniken nicht das Maß aller Dinge sein müssen. Das durch langsame Übertragungsraten in Verruf geratene KIT und die in teils noch in Entwicklung befindlichen Multimedia-Protokolle von AOL bringen dem Anwender Vorteile: auf den Dienst abgestimmte Cache- und Kompressionsverfahren verkürzen die Online-Zeit. Anders sieht es für die Anbieter aus, die ihre Programmierer für jeden Dienst schulen müssen und nur eine geringe Auswahl spezieller Entwicklungswerkzeuge zur Verfügung haben.

MSN setzt hingegen ganz auf Internet-Technik, sofern man Active-X als solche einordnen möchte. Dies verwundert nicht weiter, nachdem Microsoft sich auf diesem Gebiet selbst die Vorreiterrolle auf den Leib geschrieben hat. CompuServe schließlich hat in der Vergangenheit kaum durch innovative Technik glänzen können, adaptiert nunmehr jedoch immer mehr Internet-Standards und schafft mit RPA dazu einen tragfähigen Übergang. (ad)

[#anfang Seitenanfang]


Häufig verkennen die Kunden von Online-Diensten die Bedeutung der Zugangskennungen und Paßwörter. Diese Informationen haben einen ähnlichen Stellenwert wie die PIN der EC-Karte: fallen sie in die Hände Dritter, haben diese damit Zugriff auf das Konto des Betreffenden. Denn bei hemmungloser Online-Nutzung können immense Gebühren auflaufen. So hat erst kürzlich ein T-Online-Benutzer vergeblich vor Gericht zu beweisen versucht, daß er nicht für mehrere tausend Mark an einem Sex-Chat teilgenommen habe.

Das größte Sicherheitsproblem sitzt vor dem Rechner. Es hat sich zwar mittlerweile herumgesprochen, daß der Vorname der Ehefrau kein geeignetes Paßwort darstellt, doch sichere und damit komplexe Paßwörter können sich viele Anwender nur schwerlich merken. Nun bietet die Zugangssoftware jedes Online-Dienstes die Möglichkeit, das Paßwort abzuspeichern, so daß man es bei der Anmeldung nicht mehr eingeben muß. Damit ist jedoch ein hohes Risiko verbunden: Das Paßwort liegt nun mehr oder minder gut verschlüsselt in einer Datei. Wenn es jemandem gelingt, auf diese zuzugreifen, kommt er in Besitz dieser Informationen.

Besonders einfach haben es die Hacker bei AOL. Dort liegt das Paßwort unverschlüsselt (!) in der Datei ‘main.idx’. Und der Bedarf an gestohlenen Paßwörtern ist hier offensichtlich enorm: Vor einiger Zeit kursierten haufenweise EMails im Online-Dienst, deren Absender sich als AOL-Mitarbeiter ausgaben und mit fadenscheinigen Begründungen wie ‘technische Probleme’ nach dem Paßwort des Empfängers fragten. Nachdem der Betreiber emsige Aufklärungsarbeit betrieben hatte, tauchen nun immer mehr kleine Progrämmchen auf, die nach dem Start das Paßwort im Hintergrund unbemerkt zu ihrem Urheber schmuggeln.

Die Software der anderen Dienste legt die Paßwörter immerhin verschlüsselt ab. Ältere Versionen des T-Online-Decoders benutzen allerdings ein äußerst primitives Verfahren (0 = FD, 1 = ED, 2 = DD ...), um Anschlußkennung und Kennwort in der Datei ‘dbserve.prm’ abzulegen. Die neuen Versionen verpacken dagegen die beiden Informationen in 10 Bytes von ‘dbserver.ini’. Bei CompuServe findet man die verschlüsselten Zugangsdaten in der Klartextdatei ‘cis.ini’. Und MSN nutzt die Paßwortdatei des jeweiligen Windows-95-Users (*.pwl). Die im August 1995 ausgelieferte Version von Windows 95 verschlüsselte die Paßwörter so primitiv, daß schnell bekannt wurde, wie man sie knackt. Microsoft lieferte jedoch alsbald einen Patch nach, der auch im Service Pack 1 und allen folgenden 95-Versionen (950A und 950B) enthalten ist.

Und die Moral von der Geschicht? Nehmen Sie sich ein Beispiel an den Firmen, die ihren Mitarbeitern bei Strafe verbieten, die Paßwörter in der Zugangssoftware abzuspeichern. Denn wenn der PC einmal kaputt geht, fällt er während der Reparatur vielleicht jemandem in die Hände, der weiß, welche Dateien er für einen ‘gesponserten’ Online-Zugang kopieren muß. (ad)

Anzeige