Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

12.09.1986 - 

Mikrocomputer und öffentliche Netze:

Programme in Host und PC wechseln wie Schloß und Schlüssel

Rechner, die an öffentliche Netze angeschlossen sind, bedürfen besonderer Abschirmung, vor allem im Zeitalter allgemein verfügbarer PC Seit Anfang der siebziger Jahre die ersten Online-Systeme bei den Anwendern einzogen, plagt sie ein ungelöstes Problem: Wie stellt man sicher, daß nur der berechtigte Anwender sich der Vorzüge des Systems erfreut, die durch elegante Menütechnik, freundliche Benutzeroberfläche, jeden Katastrophenfall abdeckende Helpfunktionen für jeden Laien vom Lehrling bis zum Vorstand leicht verständlich angeboten werden?

Betrachtet man konventionelle Sicherungstechniken wie User-ID und Paßwort etwas genauer, so stellt sich heraus, daß die Autorisationsfestlegung für die Anwendung gesehen durchaus vernünftig ist, vor allem wenn definiert ist, von welchem Endgerät welche Anwendungen durch wen betrieben werden dürfen.

An, sich sollte es gleichgültig sein, über welches physische Terminal die einer strengen Zugriffsprüfung unterliegenden Datenbanktransaktionen einlaufen. Mehrere Anwender können sich ein Terminal teilen. Ein Anwender könnte von jedem beliebigen Terminal Zugriff nehmen. Die Berechtigung ist bereits nach Person, Funktion und Datei genau definiert. Wozu noch einmal die zusätzliche Verknüpfung der Berechtigung mit einem technischen Instrument? Auch schätzen die Datenverarbeiter diese Art der Datensicherung ganz und gar nicht. Teure Sicherungssysteme müssen installiert werden und die Pflege der Terminalberechtigungen (genauer: der Portberechtigungen) ist sehr aufwendig.

Logische Maßnahmen reichen nicht

An dieser Stelle zeigt sich jedoch das ganze Mißtrauen gegenüber den logischen Sicherungsmaßnahmen. Und das hat seine guten Gründe. Die Online-Systeme wachsen schnell- in die Tiefe und in die Breite. Der einzelne Anwender sieht sich immer feineren Autorisationsgittern in immer mehr Systemen gegenübergestellt:

Als Gruppenleiter in der Kreditorenbuchhaltung zeichnet er elektronisch Schecks frei, als Urlaubsvertreter seines Chefs genehmigt er am Terminal eine größere Warenbestellung, als einfacher Angestellter rechnet er seine Reisespesenabrechnung über den Bildschirm ab und zu Hause- nach Feierabend- überweist er noch ein paar Rechnungen über das Btx-Konto. Die Fiele von Paßwörtern, PINS (Personalidentifikationsnummer) und TANS (einmalige Transaktionsnummer) wird zur Belastung. Er schreibt die Paßwörter auf und läßt sie im Schreibtisch liegen, wird von der Revision verwarnt und fängt nun an, seine Paßwörter zu rationalisieren. Möglichst nur noch ein Paßwort für alle Systeme: den Geburtstag seiner Frau. Doch diese schwächliche Verteidigung wird vom Computer schnell überwunden. Rein numerische Paßwörter wie Geburtstage oder Telefonnummern, werden nicht angenommen; auch keine rein alphabetischen wie Namen, Vornamen und Ortsbezeichnungen. Endlich findet er sein Paßwort. Nach drei Monaten wird es vom Computer automatisch gelöscht, und wieder bekommt er einen Rüffel.

Das zeigt die Grenzen einer auf Software basierenden Datensicherung: Die Versuche, ausreichenden Schutz über logische Sicherungsverfahren zu geben, haben bereits heute ein problematisches Stadium erreicht. Die Voraussage darf gewagt werden, daß alsbald eine Rückbesinnung auf mehr physische Sicherungsmittel, wie abschließbare Zimmer, abschließbare Terminals und elektronische Ausweiskarten einsetzen wird, bis vielleicht in absehbarer Zeit die eindeutige personelle Identifikation des Anwenders - wahrscheinlich über sein "Sprachdiagramm"- möglich sein wird.

Zeigt der kurze Ausflug in die Realität unserer konventionellen Online-Systeme, daß bei der Sicherheit manches im Argen liegt, so bleibt doch wenigstens ein Trost:

Soweit die Terminals über Standleitungen an den Rechner angeschlossen sind, bleibt der Zugriff auf die Betriebsangehörigen beschränkt. Mögen diese auch mit allen menschlichen Schwächen der Neugier und Habsucht ausgestattet sein, so darf man doch im Normalfall unterstellen, daß sie als loyale Betriebsangehörige nicht gerade ständig auf Datenterror und Destruktion aus sind.

Solche Hoffnung ist aber nicht mehr gerechtfertigt, wenn man seinen Computer mit dem öffentlichen Netz in Berührung bringt und Hacker, Freaks und sonstige Datenchaoten nunmehr vor der Datenbank stehen. Die Gefahr beginnt in diesem Fall nicht erst, wenn im Front-end-Prozessor des Hauptrechners ein paar Ports für die Anwahl freigemacht werden, sondern wenn ein Abteilungsrechner für Office Automation einen derartigen Zugang erlaubt und seinerseits an den Hauptrechner angeschlossen ist.

Sonderprobleme mit öffentlichen Netzen

Im folgenden soll ermittelt werden, welche Schutzmaßnahmen möglich sind, um diese Sondergefährdung abzuwenden oder doch wenigstens erheblich zu mindern. Die Abbildung zeigt die gängigen in Deutschland gebräuchlichen offenen Datenkommunikationsverfahren:

Datex-P und Datex-L sind die digitalen Datenübertragungsdienste der Bundespost.

Btx, der neue für die Öffentlichkeit eingerichtete Dienst, der als billiges Datenübertragungsmedium jedoch mehr und mehr von gewerblichen Unternehmen genutzt wird.

SNA 3276: Mit der abgewandelten IRMA-Karte kann heute jeder gebräuchliche PC zum 3276-Terminal umgewandelt werden. Wen die etwas lahme Geschwindigkeit des Modemanschlusses von 2400 Baud nicht stört, der findet in dieser Alternative das schnellste und technisch unaufwendigste Verfahren, seine IMS-Datenbank über das ganz normale Telefonnetz nach "draußen" zu öffnen.

TTY: das einfachste, billigste und verbreitetste Kommunikationsverfahren. Hier ist das Reich akustischer Koppler und Homecomputer. Handelsreisende mit ihren Portables, Professionelle, die zu den öffentlichen Datenbanken Zugang finden müssen, aber auch Hacker und Chaoten tummeln sich hier. Darf man amerikanischen Filmen Glauben schenken, dann hängt dort fast jeder Schüler an der Leitung.

Geschlossene Benutzergruppen

Sofern der Netzanschluß der Bundespost eine Identifizierung des Teilnehmers erlaubt, kann man von der Möglichkeit der "geschlossenen Benutzergruppe" Gebrauch machen. Das ist der Fall bei Datex-L, Btx und Datex-P. Im letztgenannten Fall ist Voraussetzung, daß ein Hauptanschluß benutzt wird. Die Post prüft jedes Mal, ob Anwählender und Angewählter in der Tabelle der Zugangsberechtigungen eingetragen sind, bevor sie die Verbindung aufbaut. Der Anschluß innerhalb einer geschlossenen Benutzergruppe erhält somit die Qualität einer" virtuellen Mietleitung" und dürfte wie jede Mietleitung als sehr sicher gelten.

Mit den Vorteilen von Mietleitungen teilt ein derartiges Verfahren allerdings auch deren Nachteile: Das Netz ist relativ unflexibel; Veränderungen in der Benutzergruppe bedürfen ständiger Wartung, und die Kosten steigen gegenüber der normalen offenen Anschlußalternative.

Trotzdem, als virtuelles Mietleitungsnetz kann es überall dort eingesetzt werden, wo man ein "normales" Mietleitungsnetz anwenden würde - allerdings, da gebrauchsabhängig, zu meist niedrigeren Kosten. Es kommt jedoch nicht in Frage, wenn die Schar der Anwender zu sehr fluktuiert, das heißt wenn der Benutzerkreis gar nicht richtig geschlossen werden kann - wie zum Beispiel bei Lieferanten oder Kunden. Die über die Post zu beantragende Wartung der Zugangsberechtigungen ist viel zu umständlich, langsam und teuer, um nach diesem Verfahren ein effizientes System aufbauen zu können.

Eine recht hohe Sicherheit in der Anschlußkontrolle wird dadurch erreicht, daß man diese durch einen Operator überprüfen läßt. Ein Anwender ruft auf einer Datenleitung an, ein Operator nimmt das Gespräch entgegen, identifiziert den Anrufer und gibt erst jetzt die Leitung für den Datenverkehr frei.

Solch ein Verfahren kommt allerdings nur für den gelegentlichen Datenaustausch, zumeist bei der Übertragung ganzer Dateien, in Frage. Für die dauernde Kommunikation im Rahmen von Online-Systemen mit größeren Teilnehmerzahlen ist es viel zu personalintensiv und wahrscheinlich auch zu langsam, ganz abgesehen davon, daß es für die Datexdienste überhaupt nicht taugt.

Kommunikationseröffnung nur nach Rückruf

Eine ebenfalls gängige Methode, mit dem Problem der Zugangskontrolle im öffentlichen Netz fertig zu werden, ist, den Spieß einfach umzudrehen: Der Anwender ruft nicht mehr den Computer an, sondern er wird angerufen. Oder genauer gesagt: Der Kommunikationsprozeß wird zweigeteilt in eine Eröffnungsprozedur, bei der der Teilnehmer den Computer anwählt und sich (durch Paßwort) identifiziert, und eine Kommunikationsprozedur, die der Computer anhand einer Teilnehmertabelle eröffnet und dann für die Applikation freigibt.

Obwohl der Anwender mit einem "logischen" Schlüssel den Dialog eröffnet, erreicht dieses Verfahren die Sicherheit eines geschlossenen Netzes. Die Anschlüsse sind auf den Kreis der in der Tabelle vorhandenen Eintragungen begrenzt. Ein Außenstehender kann nicht einbrechen. Die Regelung der Datenzugriffsberechtigung folgt dann dem auch für direkt angeschlossene Benutzer gängigen Verfahren.

Die durch den Rückruf erzeugte Sicherheit muß allerdings mit einigen Nachteilen erkauft werden. Außerdem versagt dieses Verfahren bei einem der wichtigsten Fälle der Kommunikation im öffentlichen Netz ganz und gar.

Der Computer muß mit teuren automatischen Anwähleinrichtungen ausgerüstet werden.

Der Verkehr steigt über die eigentliche Nettonutzung.

Noch gilt der Postgrundsatz: "Wer wählt, der zahlt!" Die Anwendung dieses Grundsatzes im Verkehr mit vielleicht weniger sicherheitsbewußten Lieferanten kann zur einseitigen Kostenkonzentration beim Computerbesitzer führen, wenn zum Beispiel Abrufe dem Lieferanten direkt zugestellt und Rechnungen nach Rückruf angefordert werden.

Die Gegenseite muß mit Terminals ausgerüstet sein, die nicht nur aktiv die Kommunikation eröffnen können, sondern die auch eine Anwahl zulassen, was insbesondere bei Datexdiensten nicht selbstverständlich ist.

Und schließlich kann man nicht zurückrufen, wenn die Nummer des Partners nicht bekannt ist. Genau das ist aber der Fall bei der modernsten Systemvariante, bei der Manager, Vertreter, Reisende, Außendienstrevisoren oder sonstige mobile Anwender Aber die Telefonzelle, über das Kundentelefon oder über das Telefon des Hotelzimmers mittels eines portablen Terminals auf ihr System zurückgreifen möchten.

Chip identifiziert Terminal

Bei allen besprochenen Gegenmaßnahmen handelte es sich um Versuche, die Eindeutigkeit des Terminals am Eingang des Netzes in den Computer festzulegen. Am Port des Front-end-Prozessors liegt

eine Mietleitung,

eine von der Post durchgeschaltete, auf Benutzerberechtigung überprüfte virtuelle Mietleitung,

eine vom Computerbesitzer selbst mittels eines Operators überprüfte Wählleitung,

oder eine vom Computer selbst nach Prüfung eröffnete Leitung.

Diese auf die Leitung bezogenen Anschlußkontrollen sind im zuletzt geschilderten Fall nicht mehr möglich. Jede öffentliche Leitung ist zugelassen, der hereinkommende Teilnehmer kann ein berechtigter Anwender, aber auch ein Hacker sein.

Welchen Schutz kann man gewähren, bevor man sich auf die zweifelhaften logischen Schutzmaßnahmen der Anwender, mit ihrer Abteilung aus Geburtstagen und Frauennamen zurückziehen muß?

Funktion

Es liegt nahe, diesen Schutz im Terminal selbst herzustellen. So ist es dann auch nicht verwunderlich, daß vor kurzem ein Chip entwickelt wurde, mit dessen Hilfe überprüft werden kann, ob das "anrufende" Terminal berechtigt ist. Das geht - soweit bekannt geworden ist - auf folgende Weise vonstatten:

Der Chip produziert über einen Zufallsgenerator eine beliebige Zahl.

Die Zahl wird nach einem bestimmten mathematischen Verfahren verändert und als Ergebnis der Zufallszahl beigefügt.

Beides, Zahl und Ergebnis, werden an den Computer weitergereicht, der den mathematischen Prozeß kennt und nachrechnen kann. Kommt er auf das gleiche Ergebnis wie der Chip, Gibt er die Verbindung frei.

Auch Als Chipkarte

Auf ähnliche Art und Weise arbeiten die Chipkarten, die wie ein Schlüssel in hierfür vorgesehene Terminals gesteckt und dann vom Host überprüft werden können.

Die letztere Sicherungsmaßnahme zielt allerdings wieder nur auf den Anwender - den berechtigten Karteninhaber - und nicht auf das Terminal, das als Gattung grundsätzlich allgemein kommunikationsfähig bleibt. Bei entsprechender Verbreitung solcher Terminals werden die Systeme wieder "offen" und sind auf die Effizienz der Sicherung durch die Anwender (Schutz vor Diebstahl oder Verlust der Karte) angewiesen.

Hardware-Lösungen dieser Art befinden sich praktisch im Erprobungs- beziehungsweise Einführungsstadium und dürften bald als brauchbare Alternative beziehungsweise als zuverlässige, zusätzliche Sicherungsmittel auf dem Markt erscheinen. Wieweit sie sich durchsetzen, wird vom Preis abhängen und von ihrer

Überlegenheit gegenüber der Möglichkeit, ihre Funktionen per Software zu simulieren.

Software-Sicherung für PCs

Voraussetzung einer jeglichen Softwarelösung ist die Intelligenz im Terminal. Ist das Terminal fähig, ein Programm ablaufen zu lassen, kann es mit dem Host das Wissen um dieses - durchaus komplexe - Programm austauschen. Das Programm, nicht der Austausch von Erkennungsdaten ist der eigentliche Schlüssel, mit dem das Terminal die Kommunikation öffnet. Die Erkennungsdaten vermitteln nur das Wissen um das Programm und haben die zusätzliche Aufgabe, dieses Wissen gleichzeitig für jeden Außenstehenden unkenntlich zu machen.

Um ein geplantes oder zufälliges Öffnen des Kommunikationsweges zu verhindern, sollten folgende Bedingungen erfüllt sein:

1. Der Erkennungscode muß genügend lang sein, um die Möglichkeit eines Zufallstreffers durch Probieren klein zu halten.

2. Der Erkennungscode sollte pro Kommunikationseröffnung nur einmal benutzt werden, um die Möglichkeit des Codediebstahls auszuschalten.

3. Der Erkennungscode darf auf keinen Fall den eigentlichen Schlüssel, das ihn erzeugende Computerprogramm," durchschimmern" lassen.

Folgende einfache Grundalternative erfüllt bereits alle diese Bedingungen:

Der Anwender wählt den Host an, die Verbindung wird hergestellt.

Der Host fordert den Erkennungscode an.

Der Anwender gibt eine beliebige sechsstellige Zahl über die PC-Tastatur ein.

Der PC unterwirft die sechsstellige Zahl gemäß Programmlogik einer mathematischen Prozedur (Multiplizieren, Dividieren, Subtrahieren, Addieren mit Teilen von sich selbst), greift ein zehnstelliges Ergebnisfeld ab und übersendet Startzahl und Ergebnis als nunmehr sechzehnstellige Ziffer an den Host.

Der Host verwirft die Startzahl, wenn er sie innerhalb einer bestimmten Periode schon einmal erhalten hat und fordert eine neue an; andernfalls überprüft er das übersandte Ergebnis und gibt im Trefferfall die Leitung frei.

Nachdem das Terminal zur Applikation Zugang hat, erfolgt die normale Anwender-Paßwort- und Berechtigungsprüfung.

Im obigen Beispiel ist die Eröffnungsprozedur im Verhältnis

10e6-1 1

10e16-1 10e10

gegen einen Zufallstreffer geschützt.

Eine andere Überlegung gilt nunmehr für die Festlegung der Größe der Startzahl.

Unterstellen wir, daß innerhalb der Prüfperiode 1000 Transaktionen aufgegeben werden, so steht die Wiederholungschance der Startzahl in unserem Beispiel theoretisch bei

10e3 1

10e6-1 1000

Wie bereits ausgeführt, vermindert die Wiederholung der Startzahl nicht die Sicherheit, wird aber für den Anwender lästig, wenn der Computer den Dialog nicht sofort eröffnet. Entsprechende Justage von Startzahl und Ergebniszahl können das für jeden Anwendungsfall optimale Sicherungssystem leicht herstellen.

Ohne große Schwierigkeit kann man noch einige Variationen in das obige Grundmuster einweben:

Ist der PC mit einem Zufallszahlengenerator ausgerüstet, braucht man nicht den Anwender zu bemühen. Auch wäre es möglich, den Dialog mit einer im Host erzeugten Zufallszahl zu beginnen, die dann an den PC zur weiteren Behandlung übersandt wird.

Fügt man der Startzahl das Tagesdatum - und wenn möglich - auch noch die Uhrzeit bei, schließt man Repetitionen des Sicherungscodes ganz aus. Ja, man kann sogar daran denken, als Startzahl nur Tagesdatum und Uhrzeit zu benutzen, was im Endeffekt zu einem minütlich oder sogar sekündlich wechselnden Sicherungscode führen würde.

Zu denken wäre auch an eine Verschränkung von PC-Identifikation und Anwender-Paßwort, das ebenfalls in die Manipulation mit einbezogen werden kann.

Der Phantasie sind hier keine Grenzen gesetzt; die eigentliche Ausgestaltung des Programms sollte sowieso der eigenen Datenverarbeitung vorbehalten bleiben, um nicht durch zu weite Verbreitung ein- und desselben Ansatzes die Sicherungsfunktion des Verfahrens zu beeinträchtigen.

Übermittlung der Erkennungs-Programme

Gelegentlicht müssen die Programme in Host und PC so wie Schloß und Schlüssel gewechsel werden. Zwei Verfahren bieten sich an:

Datenübertragung,

Übersendung eines physischen Datenträgers, das heißt im allgemeinen einer Diskette.

Datenübertragung sollte man nur, wählen, wenn über eines der oben beschriebenen Verfahren, das heißt Operatorkontrolle oder Rückanruf, sichergestellt werden kann, daß nur autorisierte Personen den neuen Schlüssel erhalten. Nur so wird erreicht, daß ein in falsche Hände geratener Schlüssel wieder abgenommen wird.

Praktische Anwendung

Der Diskettenversand ist demgegenüber "sicherer" in der direkten Adressierung des Empfängers, weniger sicher durch die Länge und fehlende Klarheit des Transportweges, bis das neue Programm ordnungsgemäß beim Anwender unter Verschluß liegt. Am besten beraten ist man, wenn man die Schlüsselerneuerung mit anderen im System vorgesehenen Maßnahmen verbinden kann, um Sicherheit und dafür zu betreibenden Aufwand zu optmieren.

Das hier in seinen Prinzipien vorgestellte Verfahren, das zur Zeit in einem Unternehmen mit diversen Kommunikationspartnern eingeführt wird, schließt die Lücke, die über die Benutzung öffentlicher Telefonleitungen in unser sowieso schon dürftiges Sicherheitsnetz gerissen wird. Es eignet sich für zahlreiche existierende Verfahren, bei denen es darauf ankommt, einem unbefugten Benutzer den Zugang zum System zu verwehren. Solchermaßen geschützte Leitungen dürfen in ihrer Qualität den Mietleitungen gleichgestellt werden. Wer mehr Datensicherheit als das braucht, wird es nicht bei der Kommunikationseröffnungsprozedur belassen können, sondern die Datenübertragung selbst verschlüsseln müssen.