Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

18.03.1994

Datensicherheit: Die 370-Trutzburg broeckelt

Hartnaeckig wird in Expertenkreisen die Meinung vertreten, Daten seien in Computernetzen schwer zu schuetzen, wobei hostbasierte DV immer noch sicherer sei als Client-Server-Computing. Die Wahrheit liegt wie immer in der Mitte. Niemand wird leugnen, dass auf die DV-Verantwortlichen mit verteilten Umgebungen hoehere Anforderungen an die Netzadministration zukommen, dass dies auch nicht ohne zusaetzlichen Personalaufwand zu bewaeltigen ist. Diesbezueglich hat man es bei einem monolithischen Mainframesystem als Netzzentrale leichter. Andererseits gibt es zur benutzernahen Client-Server-DV fuer bestimmte Anwendungen keine Alternative. Die Frage ist dann nur noch, ob in die Netzsicherheit auch genuegend investiert wird. CW-Redakteur Alexander Deindl hat das Fuer und Wider anhand von Anwenderaussagen protokolliert. Fazit: Es muss nicht immer RACF sein.

Das Thema Datensicherheit gilt bei einigen Beratern und Anwendern in der 370-Welt nach wie vor als gefundenes Fressen, um Unix- Umgebungen und PC-Netze zu verteufeln sowie gleichzeitig proprietaeren Grossrechnerarchitekturen Schuetzenhilfe zu leisten. Verteilte Systemarchitekturen koennten schon aufgrund ihrer unterschiedlichen Betriebssysteme und unuebersichtlichen Netzkonstellationen nicht die noetigen Voraussetzungen fuer einen wirkungsvollen Zugangs- und Zugriffsschutz gewaehrleisten.

"Der Bildschirm bei Mainframes ist abgeschottet gegen Manipulation", und "es gibt kaum Moeglichkeiten, Passwoerter herauszubekommen", heissen die Standardargumente. "Die Datensicherheit ist beim Mainframe eher gegeben als in der Client- Server-Welt", aeussert sich etwa Erwin Schaefer, Systemprogrammierer beim Automobil-Importeur Amag AG, Buchs bei Zuerich

Dazu passt die Aussage von Wolfgang Schaefer, Gruppenleiter IT- Sicherheit beim Informationsdientsleister Datev aus Nuernberg: "Die Ge fahren einer Manipulation sind bei verteilten Systemen groesser". Ein Grund dafuer sei, so Schaefer, dass es PC-Betriebssystemen noch immer an Sicherheits-Produkten mangele. Er persoenlich erwarte sich ein erweitertes Spektrum an Sicherheits-Tools auf der CeBIT '94. Der Gruppenleiter raeumt jedoch gleichzeitig ein: "Da Downsizing unumstritten das Thema der Zukunft ist, geht kein Weg an einer wie auch immer zu realisierenden Sicherheit vorbei."

"RACF" (Resource Access Control Facility) lautet da das probate Allheilmittel, mit dem 370-Anwender ihr Vertrauen in die Sicherheit der zentralen Rechnerwelt begruenden. Dieses Zugangskontrollsystem ist in rund 90 Prozent aller IBM-Hosts implementiert und steuert die Datensicherung im zentralen System. So prueft das Paket beispielsweise die Benutzeranmeldung und verwaltet anschliessend die einzelnen Berechtigungen.

Alles Schall und Rauch, behaupten hingegen die Verfechter verteilter DV-Topologien. Fuer Richard Roth beispielsweise haelt sich die Security-Funktionalitaet von zentralen Loesungen schon aufgrund ihrer geschlossenen Konzeption in Grenzen: "Durch die Homogenitaet genuegt eine einzige Benutzeridentifikation und das dazugehoerige Passwort, um durchzukommen", gibt der Projektleiter beim Schweizerischen Bankverein, Basel, dessen Arbeitgeber seit zwei Jahren ausschliesslich auf dezentrale Architekturen setzt, zu bedenken. Konsequenzen fuer den Client-Server-Spezialisten: Ist das Passwort erst einmal in die Finger Unberechtigter gelangt, lassen sich so gut wie alle Manipulationen am System durchfuehren. Dezentrale Umgebungen hingegen, wie Roth entgegenhaelt, sind hardwareseitig heterogen und oft mit verschiedenartigen Netzen ausgeruestet. Dadurch benoetige der Benutzer fuer jeden Netzknoten eine neue Anmeldung, was wiederum die Sicherheit der Daten garantiere.

Auch fuer Andreas Hurst, Abteilungsleiter DV bei der Stadt Pforzheim, haben sich die Vorzeichen laengst geaendert. Der Netware- Experte, dessen Behoerde zweigleisig sowohl 370- als auch PC- Umgebungen einsetzt, laesst keine Zweifel daran aufkommen, welche DV-Struktur hinsichtlich des Datenschutzes geeigneter ist: "Mit der Mainframe-Sicherheit ist es nicht weit her". So seien die Passwoerter bei Grossrechner-orientierten DV-Strukturen ohne weiteres auszulesen. Ferner koennten mit entsprechenden Werkzeugen Datenstroeme aufgezeichnet und daraufhin ausgewertet werden", beschreibt Hurst das Ergebnis eines durchgefuehrten Experiments.

Der Abteilungsleiter bekraeftigt daher seinen Standpunkt: "Downsizer sollten sich durch das Gerede der schlechteren Netzwerksicherheit nicht beeinflussen lassen". Jedes Netzsystem biete ausreichende Sicherheitseigenschaften. Der Punkt sei, dass diese auch wirklich genutzt werden. Genauso wichtig ist dem Netware-Spezialisten zufolge ein konstanter Passwortwechsel im 30- taegigen Zyklus. Der Vorteil bei verteilten Umgebungen liegt fuer Hurst also in erster Linie darin, dass eine eigene Intelligenz vor Ort vorliegt, so dass Daten vom PC oder der Workstation chiffriert weitergegeben werden koennen. Verschluesselungsmethoden wie "RSA" und "DES" garantieren eine akzeptable Netzsicherheit in Client- Server-Umgebungen, lautet Hursts Devise.

In die gleiche Kerbe haut Christoph Ruland, Hochschullehrer am Lehrstuhl fuer Nachrichtenuebermittlung an der Universitaet Siegen. Auch fuer ihn sind Chiffrier-Techniken das Alpha und Omaga einer sicheren DV-Struktur. Im Bereich Verschluesselung gebe es fuer verteilte Systemarchitekturen weitaus effektivere Methoden als in der zentralen Rechnerwelt. Zwar realisiere die Passwortfunktion RACF einen relativ stabilen Schutz auf dem Host; trotzdem sei eine Verschluesselung von Daten bei Terminaleingaben nicht durchfuehrbar. Rulands trockenes Fazit: "Somit nuetzt der ganze Schutz, der auf der Zentrale laeuft, nichts".

In Client-Server-Umgebungen hingegen hingegen komme das Authentikations-Tool und RACF-Pendant "Kerberos" zum Einsatz. Das nach dem dreikoepfigen Hoellenhund der griechischen Mythologie benannte Ueberwachungs-Utility wurde durch die Open Software Foundation (OSF) standardisiert und habe bereits, wie Ruland aus der Praxis berichtet, Einzug in verschiedene Betriebssysteme wie Unix oder OS/2 gehalten. Vehement verneint der Informatiker die Frage, ob Unternehmen mit sicherheitskritischen Daten, weiterhin auf ihre Mainframe-Architkektur vertrauen sollten: "Auf Client- Server-Systemen sind die Moeglichkeiten, eine Sicherheit zu realisieren, besser gegeben" erklaert der Hochschullehrer.

Der Eidgenosse Roth erklaert die Funktionsweise von Kerberus: Waehrend bei anderen Schutz-Programmen die User-ID und das Passwort hintereinander durch das Netz geschickt wuerden, bleibe bei Kerberus das Passwort staendig verschluesselt auf der Workstation abgelegt. Beim Login-Vorgang schicke ein Kerberus-Server ein sogenanntes "Ticket", das wiederum auf der Workstation entschluesselt wird. "Das Passwort kommt somit nie ins Netz", versichert der Netzspezialist vom Schweizerischen Bankverein. Jeder Zugriff auf eine Ressource erfordere einen eigene Abfrage der Benutzerrechte auf dem "Zugriffsschutz-Server", so dass jedesmal eine Authentisierung stattfinde.

Neben der Funktionalitaet werfen 370-Anhaenger aber auch die zusaetzlichen Investitionen fuer Administration sowie die damit verbundenen Zusatzkosten in die Waagschale, um ihre distanzierte Haltung gegenueber verteilten Systemen zu rechtfertigen. Rueckgrat der Kritik von Rechenzentrumsleitern bildet dabei der Aufwand an zusaetzlichem Ueberwachungspersonal fuer Netze und einzelne Programmstationen.

Bernd Hoeder, Zustaendig fuer DV-Sicherheit bei der Muenchner Hypo Bank bringt auf den Punkt, was in den Koepfen zahlreicher 370- Benutzer vorgeht: "Groessere Probleme in puncto Datensicherheit entstehen eindeutig in vernetzten Umgebungen", da mit organisatorischen und herkoemmlichen Mitteln weniger erreicht werden koenne. Als Beispiel nennt Hoeder, dass "PC-Benutzer in verteilten Umgebungen gleichzeitig die Funktion eines Operators wahrnehmen muessen." Ebenso ist Michael Zurheide, Leiter Benutzerservice beim Axel Springer Verlag, Hamburg, von der Mainframe-Ueberlegenheit ueberzeugt: "Wenn man die Datensicherheit in Client-Server-Umgebungen vergleichbar mit der auf dem Mainframe halten will, ist es wesentlich schwieriger und aufwendiger, das zu realisieren."

Paradebeispiel fuer eine funktionierende DV-Sicherheit in verteilten Systemen, bei der auch der kritisierte Administrationsaufwand elegant geloest wurde, ist das Mitte 1992 abgeschlossene DV-Projekt am Muenchner Flughafen Franz-Josef Strauss. "Wir haben von Anfang an auf Client-Server- und Netzstrukturen gesetzt", beschreibt Guenther Willacker, damals zustaendig fuer die Planung und Koordination fuer die DV-Projekte der Flughafen Muenchen GmbH. Dabei hatte der Sicherheitsaspekt hoechste Prioritaet; die im Flughafenbereich eingesetzten Unix-Rechner mussten dabei rund um die Uhr zuverlaessig funktionieren, unterstreicht der DV-Planer. Um zu gewaehrleisten, dass beispielsweise die Anzeigetafeln oder Dispositionssysteme von einem kompletten Ausfall verschont werden, hat man, wie Willacker aus dem Naehkaestchen plaudert, "die Server einfach gedoppelt und Spiegelplatten eingesetzt". Ausserdem fuehre ein System automatisch saemtliche Updates des Hauptrechners durch. Der damalige Projektleiter konstatiert: "Wenn ein Rechner ausfaellt, schaltet er selbstaendig an das Backup-System um".

Der Vorteil des Client-Server-Konzepts lag Willacker zufolge insbesondere in der Gewichtung der einzelnen Sicherheitsstufen. So wurde beispielsweise dem Fluginformationssystem ein hoher Sicherheitsgrad eingeraeumt und deshalb ueber einen eigenen Rechner gesteuert. "Das Ding darf einfach nicht ausfallen", unterstreicht der Projektleiter die Relevanz der Datensicherheit allein am Beispiel der Monitore.

Voraussetzung fuer eine funktionierende Ueberwachung der Systeme war dem DV-Planer zufolge ein qualifiziertes Personal. So wurden Operatoren, die sonst lediglich Magnetbaender austauschten, fuer die Aufgaben im Client-Server-Betrieb umgeschult. Darueber hinaus bricht Willacker aber auch hinsichtlich der notwendigen finanziellen Anstrengungen eine Lanze fuer verteilte Umgebungen: "Das reine DV-Budget fuer das Client-Server-Konzept war im Vergleich zu den erwarteten Ausgaben fuer eine Grossrechner- Architektur niedriger".

Waehrend fuer die meisten Verantwortlichen der technische und organisatorische Aspekt fuer eine akzeptable DV-Sicherheit ausschlaggebend ist, rollt Hans-Josef Ganser die herkoemmliche Argumentationsweise von hinten auf. Der Zustaendige fuer die Systemtechnik beim Bundesamt fuer Informationstechnik, Bonn, weist darauf hin, dass der Spion nicht selten im eigenen Unternehmen sitzt: "Der eigentliche Taeter ist oft intern zu finden, wenn beispielsweise das Passwort preisgegeben wird." Gegen das nicht sicherheitskonforme Verhalten befugter Benutzer seien weder Client-Server- noch Mainframe-Strukturen ausreichend geschuetzt. Gansers ernuechterndes Beispiel: "Bei VW und Opel war es ja offensichtlich auch so. Da hatte der autorisierte Mitarbeiter einfach die Daten mitgenommen - und Punkt".