Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

10.12.1976

In online Systemen bleibt immer ein Sicherheitsrisiko

Mit Dipl.-Ing. Carlfried Schmitz, Leiter der Gruppe Rechnerverbundsysteme bei der Industrieanlagen-Betriebsgesellschaft m. b. H. (IABG), Ottobrunn, sprach CW-Chefredakteur Dr. Gerhard Maurer

- Ende September referierte auf der Linzer Datenschutz-/Datensicherheits-Tagung der MIT-Professor Jerome H. Saltzer, einer der anerkannten Spezialisten für Probleme der Sicherheit in großen Computersystemen und Rechnernetzen. Saltzer führte aus, daß es bisher noch immer gelungen sei, selbst aufwendige Sicherheitsvorkehrungen, die per Software auf den Systemen realisiert wurden, zu durchbrechen. Sie waren auf der Linzer Tagung auch dabei. Waren Sie von Saltzers Ausführungen überrascht?

Wer sehr aufmerksam die Berichte und Studien - besonders aus den USA - über Datensicherheit verfolgt, ist darüber informiert, daß zur Zeit kein System existiert, welches gezielte Durchbrechungsversuche abblocken kann. Es gibt Dutzende von diesbezüglichen Veröffentlichungen aus allen Bereichen der EDV-Anwendung. Dies gilt auch für solche Systeme, von denen man annahm, daß ein ausreichendes Maß an Sicherheit durch entsprechende Vorkehrungen eingebaut wurde.

- Das muß doch eigentlich jeden EDV-Chef schocken - zumal das kürzlich verabschiedete Bundesdatenschutzgesetz ihm ja auferlegt, daß unberechtigter Zugriff zu sensitiven Daten durch viele Arten von Kontrollen zu verhindern ist.

Derartige Schocks können eine durchaus heilsame Wirkung haben - insbesondere wenn es darum geht, das Management mit dem notwendigen Problembewußtsein zu versehen.

-Beschränken wir uns in diesem Interview auf die Sicherheit in Online-Systemen - insbesondere auf die zu ergreifenden Vorkehrungen für die Kommunikation zwischen Terminal und zentralem Rechner. Dabei wollen wir die vielen Aspekte physischer Datensicherung wie Archivierung, Zugangskontrolle etcetera hier außer acht lassen. Bezogen auf diese Sicherheit in Online-Systemen, behaupten die Hersteller, abgeschirmte Systeme anzubieten, sofern die vorgeschlagenen Maßnahmen zur Identifizierung am Terminal und zum Aufbau von Zugriffsberechtigungstabellen im zentralen System getroffen wurden. Wiegt sich der Anwender da in falscher Sicherheit?

Für oder vielmehr gegen den normalen Benutzer ohne allzu tiefe Systemkenntnisse sind die vorhandenen, bekannten organisatorischen und technischen Identifikations- und Zugriffsberechtigungsverfahren sicherlich ausreichend. Zudem werden in den USA schon eindeutige, menschliche Charakteristika messende Identifikationsgeräte angeboten, die in Kombination mit einer das Meßergebnis widerspiegelnden Magnetkarte Benutzeridentifikationen zweifelsfrei erlauben. Jedoch für den entschlossenen Penetrator - wie ihn die Amerikaner nennen - mit Systemprogrammierungs- und insbesondere mit intimen Betriebssystemkenntnissen stellen nach erfolgter oder manipulierter Identifikation die weiteren üblichen Sicherheitsbarrieren kein unüberwindbares Hindernis dar. Es besteht die Möglichkeit, die Sicherheitsvorkehrungen klassischer Natur - bei Datenbanksystemen etwa die Überprüfung der Dateizugriffsberechtigung auf Betriebssystem-Ebene gezielt zu umgehen, eventuell auch durch Ausnutzung von Softwarefehlern. Alle heutigen kommerziellen Betriebssysteme wurden mehr unter dem Gesichtspunkt Effizienz als Datenschutz und Datensicherung entwickelt. Sie besitzen keine zentralen und eindeutig überprüfbaren Sicherheitsmechanismen, die eine Kontrolle der eindeutigen Zuordnung von Betriebsmitteln zu Prozessen gestatten. Und deshalb gelingt es immer wieder, die herkömmlichen, von den Herstellern als sicher bezeichneten Schutzvorkehrungen zu umgehen. Dies gilt insbesondere, wenn dem Benutzer am Terminal interaktive Programmierung und die Benutzung von Dienstprogrammen und Editor erlaubt sind.

- Gibt es dafür wirklich so viele Beispiele?

Man weiß nur von bekannt gewordenen Fällen, die aufgrund gezielter Überprüfungen installierter Systeme ans Tageslicht gekommen sind. Die in diesen Dingen recht offenherzigen Amerikaner haben unter anderem im Sommer 76 publiziert, daß es bei einem Rechnersystem der US-Navy - Hersteller tut nichts zur Sache, das hätte bei jeden passieren können - gelungen ist, in diesem System Daten zu überschreiben, zu verändern, des Benutzers Rechenzeit mißbräuchlich zu verwenden und die ihm zugeordneten Betriebsmittel zu überwachen. Dies alles war möglich, obwohl dieses System für die Verarbeitung geheimer Daten ausgelegt war.

-Sie kennen die Details. Was ist da passiert?

Das Schlupfloch, um auf die Systemebene unterhalb der Sicherheitsvorkehrungen hinabtauchen zu können, waren unzureichend geschützte Executive Routines. Wer an diese von verschiedenen Prozessen gemeinsam benutzbare Routinen herankam, konnte sich gewissermaßen in einen privilegierten Zustand versetzen und somit in dem System "spazierengehen". Ähnliche Methodik ist in praktisch allen Betriebssystemen anwendbar.

- Was tat die US-Navy?

Der Schock war riesengroß, und sogar der Kongreß schaltete sich ein. Über die getroffenen Folgemaßnahmen bewahrt man Stillschweigen. In diesem Zusammenhang wurde auch bekannt, daß sogenannte Audit-Teams des amerikanischen Bundesrechnungshofes 60 Fälle von Computerkriminalität allein bei den US-Bundesbehörden aufgedeckt hatten.

- Damit ist das Stichwort Computerkriminalität gefallen. Wie sehen die Amerikaner dieses Problem?

Ohne ins Detail zu gehen - und die Details sind sehr interessant - kann ich von Zahlen berichten, die ich kürzlich in New York hörte, wo sie vor den 320 Teilnehmern an der Third Annual Computer Security Conference genannt wurden. Demnach wurden alleine 1976 Fälle mit einer Schadenshöhe von mehreren 10 Millionen Dollar bekannt. Und es wird geschätzt, daß die unentdeckten Fälle sich in einer Größenordnung von 100 Millionen Dollar bewegen. Dies ist echte Computerkriminalität; überwiegend handelt es sich um Fälle, bei denen von Dateneingabegeräten illegal Transaktionen hinzugefügt oder gelöscht wurden, die Geldzuweisungen auslösten. Dies war nur möglich durch das Wissen um die organisatorischen Zusammenhänge der betroffenen Unternehmen und weil die getroffenen Sicherheitsmaßnahmen in den Systemen unzureichend waren. Kurioserweise wurden die meisten bekannt gewordenen Fälle von Leuten auf dem Management-Level hervorgerufen und nicht von den Systemfachleuten, die die intimsten Kenntnisse der Rechenanlagen haben. Man kann nur mutmaßen, welche Möglichkeiten diesen Kennern zur Verfügung stehen, insbesondere die Möglichkeit dafür vorzusorgen, daß ihre Eingriffe in das System unbemerkt bleiben.

- Diese Gefahren werden zunehmend größer - bedingt durch die Vernetzung von Computersystemen. Und wenn man an die Zukunft denkt, etwa an Electronic Funds Transfer Systems, mag man schaudern. Glauben Sie, daß die Amerikaner das Problem in den Griff bekommen werden?

Bekannt gewordene Schadensfälle der genannten Größenordnung sowie weitere Aufdeckung von Gefahren durch den Einsatz von Audit-Teams führten in den USA bereits frühzeitig zu der Erkenntnis, daß die Forschung auf dem Gebiet der Computer Security dringlich und auch wirtschaftlich gerechtfertigt ist. Allein die US Air Force hat für ihre vielen Installationen die Mehrkosten für die Datensicherheit auf eine Höhe von etwa 100 Millionen Dollar jährlich geschätzt, und zwar wegen aufwendigerer organisatorischer und baulicher Maßnahmen und wegen ineffizienter Computernutzung, wenn beispielsweise Programme mit Geheimhaltungsstufen ganz allein auf den Rechnern gefahren werden und die Systeme hinterher "gesäubert" werden. Dies sind echte Mehrkosten, die verhindert werden könnten, wenn von vorneherein unter

Sicherheitsaspekten konzipierte Betriebssysteme und unterstützende

Hardware-Features zur Verfügung stünden.

- Wird man Ende des Jahrzehnts sichere Betriebssysteme für Online-Anwendungen und Computernetze haben?

Hier streiten sich noch die Gelehrten. Es gibt verheißungsvolle Ansätze. Sie beruhen alle auf dem sogenannten Verbotsprinzip, das heißt die Benutzung aller Betriebsmittel, für die nicht explizit Erlaubnis erteilt wurde, ist verboten. Betriebssysteme, die auf diesem Prinzip beruhen, benötigen jedoch die Unterstützung durch entsprechende Hardware-Einrichtungen. Solche Systementwürfe wurden bereits in Pilotprojekten implementiert, und über praktische Erfahrungen liegen Berichte vor. Unter den Begriffen Security-Kernel, Capability Architecture und Virtual Machine Monitor sind die einzelnen Entwicklungsrichtungen bekannt geworden.

- Das alles wird dem normalen Online-Anwender in absehbarer Zeitwohl kaum helfen?

Wie schon eingangs dargestellt, ist die gegenwärtige Situation äußerst unbefriedigend und es wäre falsch, dies zu beschönigen. Sicherlich lassen sich die Risiken beim Anschluß zahlreicher Terminals durch verbesserte Benutzer- und Systemidentifikations-Checks, ergänzt durch Protokollierung - wie sie ja auch im Bundesdatenschutzgesetz gefordert wird - vermindern. Denn durch die Möglichkeit der Post-Facto-Analyse ist ein nicht zu unterschätzender Abschreckungseffekt gegeben. Man sollte sich aber keine Illusionen darüber machen, daß eine solche Überwachung erhebliches Interpretations-Know-how erfordert und nur stichprobenhaft erfolgen kann in Anbetracht des Umfanges der täglichen Aufzeichnungen. Da eine solche Kontrolle eine der wichtigsten Aufgaben des zu bestellenden betriebsinternen Datenschutzbeauftragten ist, bin ich persönlich der Meinung, daß man für diese Funktion sehr tüchtige EDV-Fachkräfte brauchen wird.

Wo gibt es weitere Engpässe?

Nicht unerwähnt bleiben sollten das Fehlen kostengünstiger End-zu-End-Verschlüsselungsverfahren und Probleme der Informationsausbreitung bei marktüblicher Hardware durch elektromagnetische Abstrahlung. Die Operator-Konsole wird künftig wie jedes andere Terminal behandelt werden,

und in Zukunft wird sie nahezu ganz entbehrlich sein.

Die in diesem Interview von C. Schmitz vertretenen Ansichten sind seine private Meinung und nicht offizielle Stellungnahme der IABG.

Carlfried Schmitz (33)

leitet die sieben Mitarbeiter umfassende Gruppe Rechnerverbundsysteme im Studienbereich der Industrieanlagen-Betriebsgesellschaft m. b. H. (IABG), Ottobrunn bei München. Die IABG erbringt technisch-wissenschaftliche Dienstleistungen überwiegend im öffentlichen Bereich und betätigt sich u. a. in der Planung und Bewertung von Rechnerverbundsystemen.

Schmitz studierte Maschinenbau an der TH Darmstadt. Nach dem Diplom (Dipl.-Ing. 1968) arbeitete er ein Jahr als Operations-Research-Fachmann in der Wirtschaft. Danach ging er zur IABG, wo er in verschiedenen EDV-Projekten auf den Gebieten OR-Anwendung, Simulation von Computersystemen, Datenfernübertragung, Rechnerkopplung arbeitete.