Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

04.08.1989 - 

Nur 40 Prozent der Großrechner mit Zugriffskontrolle-Software ausgerüstet

Der DV-Org.-Leiter wird die Verantwortung tragen müssen

Mit einer Reihe von hard- und softwareseitigen Maßnahmen rüsten sich Unternehmen gegen Sicherheitsrisiken wie Diebstahl, Manipulation oder Viren. Denn je komplexer und umfassender die Aufgabenstellungen sind, die von DV-Abteilungen bewältigt werden müssen, desto wichtiger wird ein wirksamer Schutz der Daten.

Computersicherheit respektive -unsicherheit ist mittlerweile nicht mehr nur ein Thema für EDV-Insider. Vor allem zwei spektakuläre Fälle haben die Aufmerksamkeit der Öffentlichkeit erregt. Ende vergangenen Jahres war es einem amerikanischen Informatik-Studenten gelungen, durch die Sicherheitsmaschen eines großen amerikanischen Computernetzes, das Internet, zu schlüpfen und ein sogenanntes Virus-Programm zu installieren, das innerhalb weniger Stunden Tausende von Computern infizierte. Während in diesem Fall das Motiv wohl hauptsächlich in der technischen Herausforderung bestand und die verheerende Wirkung wohl nicht beabsichtigt war, spielten bei den deutschen Hackern, deren Aktivitäten in amerikanischen Rechnernetzen Anfang des Jahres an der Universität Berkeley aufgedeckt wurden, auch durchaus materielle Interessen eine Rolle. Der sowjetische Geheimdienst KGB bezahlte sie für Informationen von technologischem oder militärischem Wert.

Beunruhigend an diesem Spionagefall neuer Art dürfte jedoch weniger die Erkenntnis sein, daß auch Computer-Freaks käuflich sein können, als vielmehr die Art und Weise ihrer Entdeckung. Der System-Manager in Berkeley folgte mehr oder weniger einer zufälligen Eingebung, als er der Spur eines Benutzers nachging, der ähnlich wie manche Studenten, die sich ohne Berechtigung in den Rechner einloggen, keine Gebühren bezahlte. Auch das ziemlich langwierige Verfahren, das notwendig war, um den Eindringling identifizieren und schließlich seine Absichten erkennen zu können, dürfte auf Sicherheits-Verantwortliche nicht eben beruhigend wirken.

Innerhalb der Logik Restriktionen einbauen

Als die Informationsverarbeitung noch weitgehend mit Hilfe von Papier abgewickelt wurde, verhinderte man den unberechtigten Zugriff auf sensible Daten durch verschlossene Türen und Karteischränke. In der Frühphase des Computereinsatzes wurde diese Methode auf das neue Speichermedium übertragen: der Computerraum war nur für einige wenige autorisierte Personen zugänglich. Heute, da mehr und mehr DV-Systeme von der Stapelverarbeitung auf den Online-Betrieb, sprich die direkte Kommunikation des Endbenutzers mit der Zentraleinheit, umgestellt werden, sind alle Operationen von außerhalb durchführbar. Mit dem nötigen Know-how kann man von einem beliebigen Terminal oder Personal Computer aus in sämtliche Bereiche des Zentralrechners eindringen. Daher ist es nur noch in beschränktem Maß möglich, den Zugang zu den Daten durch äußere Vorkehrungen - physikalisch - zu regeln. Man muß innerhalb der Logik des DV-Systems entsprechende Restriktionen einbauen, die verhindern, daß sensible Informationen von Unbefugten eingesehen, zerstört oder auch manipuliert werden können.

Als besonders verletzlich sind unter anderem Personaldaten, Lohn und Gehaltslisten, Finanzdaten, Verkaufszahlen oder auch Konstruktionsunterlagen einzustufen. Zum einen gilt es, den Schutz der persönlichen Daten der Mitarbeiter vor unberechtigter Einsichtnahme oder Weitergabe zu gewährleisten - eine Verpflichtung, die den Unternehmen allein schon durch die Datenschutzgesetze auferlegt ist. Zum anderen bietet die Datenhaltung per Computer eine Vielzahl an Chancen zu Diebstahl, Mißbrauch, Betrug und Zerstörung.

Die Bundesdatenschutz-Novelle, die im Deutschen Bundestag noch in dieser Legislaturperiode verabschiedet werden soll, sieht eine wesentliche Veränderung der bestehenden Gesetzgebung vor. So wird die Beweislast bei der unzulässigen Weitergabe personenbezogener Daten auf die Unternehmen verlagert. Rechenzentrums- beziehungsweise DV-Leiter sollen für den Datenmißbrauch verantwortlich gemacht werden. Das Strafmaß kann bis zu 500 000 Mark betragen. Neben der grundsätzlichen Forderung nach einer klar geregelten Zugriffskontrolle ergibt sich daraus die Notwendigkeit, der DV-Revision ein Werkzeug an die Hand zu geben, um jederzeit die internen Organisationsrichtlinien und Sicherheitsmaßnahmen auf Funktionsfähigkeit und Vollständigkeit überprüfen zu können.

Obwohl gesicherte Zahlen über Computerkriminalität bisher nicht vorliegen, kann man doch davon ausgehen, daß in diesem Bereich eine deutliche, wenn nicht dramatische Zunahme stattfindet. Ziel solcher Aktivitäten kann die Zerstörung wertvoller Datenbestände durch ein konkurrierendes Unternehmen oder auch eine Art Lösegeld für die Beseitigung einer im Computersystem installierten Gefahr, einer sogenannten logischen Bombe, sein. Computerprogramme lassen sich auch dahingehend manipulieren, daß Leistungen bezahlt werden, die nie erbracht wurden oder daß bei Verkäufen regelmäßig gewisse Anteile abgezweigt werden. Die Reihe ließe sich beliebig fortsetzen. Die Phantasie der Täter wird durch die Aussicht auf große Geldsummen und gute Chancen, unentdeckt zu bleiben, angeregt.

Der jährliche Zuwachs in der Computerkriminalität wird hinsichtlich der Anzahl der Fälle auf zehn bis 15 Prozent geschätzt. Das Schadensvolumen variiert von Jahr zu Jahr sehr stark, abhängig davon, ob große Betrugsfälle ans Licht gekommen sind. Sehr hoch zu Buche schlagen vor allem die Kosten von Virus-Infektionen. Der Schaden, den allein der "Internet-Wurm" angerichtet hat, wird, wenn man die verlorenen Maschinenzeiten und die Kosten für Reinigung und Wiederherstellung der Systeme zusammenrechnet, auf über 100 Millionen US-Dollar veranschlagt (siehe Kasten auf Seite 22).

Was die Täter angeht, so sind außer bei den Virus-Attacken bei nahezu allen aufgeklärten Fällen größeren Ausmaßes Insider beteiligt. Das heißt, es handelt sich nur sehr selten um Hacker, sondern in der Regel um Mitarbeiter aus der Datenverarbeitung des betreffenden Unternehmens oder ehemalige Mitarbeiter, die den laufenden Programmcode noch kennen.

Computerkriminalität dramatisch zugenommen

Gegen alle Arten des Mißbrauchs von Computerdaten gibt es wirksame Schutzmechanismen. So läßt sich beispielsweise Kommunikationssicherheit im Datenaustausch zwischen Rechnersystemen durch Kryptographierung erzielen. Solche Einrichtungen zum Ver- und Entschlüsseln von Informationen werden zwischen den Computer und das jeweilige Übertragungsmedium, Telefonnetz oder Datenfernübertragungsnetze, geschaltet. Das kann eine sogenannte Black Box mit eigenem Rechner sein oder ein integriertes System, das allerdings wegen der komplizierten mathematischen Operationen, die bei der Kryptographie angewendet werden, einen wesentlichen Teil der Prozessorleistung beansprucht. Gebräuchlich sind Kryptographie-Systeme vor allem im nationalen und internationalen Geldgeschäft.

Die Basis aller Sicherheitsmaßnahmen bilden nach wie vor physikalische Zugriffskontrollen. Sie haben im wesentlichen mit dem Abschließen von Computern und Computerräumen beziehungsweise mit entsprechenden Zugangsregelungen zu tun. Die Angebotspalette reicht hier von einfachen Abschließmechanismen für Mikrocomputer über Zugangskontrollsysteme mit Identitätskarten bis hin zu komplizierten Überwachungseinrichtungen mit Kameras. Auf diesem Sektor scheint allgemein ein angemessenes Sicherheitsniveau erreicht zu sein. Längst nicht so konsequent gehandhabt, wie die physikalischen Sicherheitseinrichtungen, werden derzeit noch die softwaremäßigen Zugangskontrollen. Diese Systeme sorgen mittels Berechtigungsroutinen wie zum Beispiel Paßwörtern dafür, daß den verschiedenen Benutzern nur ein bestimmter Bereich in Rechner und Speichermedien zugänglich ist. Die dafür erforderliche Programmierung kann entweder direkt in die Softwaresysteme integriert werden, was ein besonders hohes Sicherheitsniveau garantiert, oder sie wird als Sicherheitspaket hinzugekauft. Lösungen der letzteren Art, von denen viele vor allem für IBM-Computersysteme angeboten werden, sind jedoch in Europa noch weit weniger verbreitet als in den USA. Eine Umfrage in deutschen Rechenzentren ergab, daß gerade 40 Prozent der Großrechner mit Zugriffskontroll-Software ausgestattet sind.

Auch das Eindringen der deutschen Hacker in die amerikanischen Forschungsrechner hatte ja mit unzureichender Sicherheitssoftware zu tun. Die Hacker konnten sich beliebig oft an Paßwörtern versuchen, ohne daß dies zu einem Abbruch des Programms geführt hätte. Nicht einmal eine Protokollierung dieser Versuche wurde vorgenommen.

Was die Virengefahr angeht, so sind letztlich nur solche Rechner davor sicher, die in keinerlei Austausch mit anderen Systemen stehen. Das ist jedoch heute auch bei Großrechnern kaum noch der Fall. Die Entlastung der Zentraleinheit durch Personal Computer oder Workstations bringt die Gefahr mit sich, daß von diesen Systemen Dateien eingeschleust werden, die geringfügige Modifikationen am zentral verwalteten Datenmaterial vornehmen können und in der Folge den gesamten Informationsbestand verderben. Eine Schutzmaßnahme gegen solche Verunreinigungen kann beispielsweise darin bestehen, daß die Aktualisierungen und Modifikationen mit Hilfe eines Bibliotheks-Verwaltungssystems genauer kontrolliert werden. Für die Suche nach Virusprogrammen läßt sich Software einsetzen, die auf Expertensystem-Basis Änderungen untersucht.

Doch bei allen Möglichkeiten, die sämtliche Kontroll-Mechanismen bieten, sollte man eins nicht vergessen: Kein Sicherheits-System alleine - und sei es noch so gut - ist in der Lage, den hundertprozentigen Schutz vor Manipulationen oder Diebstahl zu garantieren. Für die Datensicherheit sind in erster Linie alle am DV-Betrieb beteiligten Mitarbeiter eines Unternehmens verantwortlich. Eine sachliche Aufklärung über Risiken erscheint daher im Vorfeld angebracht. Denn nur so lassen sich Lücken besser erkennen und etwaige Schäden so gering wie möglich halten oder ganz abwenden.