Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

21.06.1985 - 

Bereits bei der Auswahl der postalischen Datei-Dienste wird viel "gesündigt":

Verschiedene Sicherheitsstufen im Fernzugriff

*Dieter Steuer ist Inhaber des Ingenieur-Büros für Tele- und Daten-Kommunikation.

Die Post forciert seit den letzten Jahren den Ausbau der Dienste für Sprach-, Text-, Bild- und Datenkommunikation. Es werden sowohl neue Dienste eingeführt, wie auch in den bestehenden zusätzlich Leistungsmerkmale aufgenommen. Ziel ist die Erreichbarkeit eines ständig erweiterten Nutzerkreises vor allem auch solcher Anwender, die sich aus Kostengründen bisher Online-Anbindungen verschlossen. Mit der zunehmenden Anzahl an Diensten und Teilnehmern nehmen naturgemäß auch die Sicherheitsrisiken für den Nutzer zu. Aber das komplexe Datenübertragungssystem der Post bietet durchaus einiges an Möglichkeiten, diese Risiken zu minimieren.

Hierzu sei stellvertretend ein Absatz aus Datex-Dienst mit Leitungsvermittlung Datex-L (FTZ L16-4, März 1985) der Informationsschriftenreihe der Deutschen Bundespost zur Text- und Datenkommunikation angeführt. Es heißt hier zum Thema Netzübergänge vom Telefonnetz zu Datex-L: ".. . . Mit diesem besonderen Zugang aus dem Telefonnetz können Sie zum Beispiel Ihren Kunden oder Außendienstmitarbeitern Ihre Datenverarbeitungsdienstleistungen einfach, schnell und preiswert zugänglich machen. Service-Rechenzentren haben damit die Möglichkeit, ihre Dienstleistung jetzt "vor Ort" zu regionalen Telefongebühren anzubieten. Mobiler Einsatz an jedem beliebigen Telefonanschluß ist bei Verwendung akustisch gekoppelter Datenendgeräte möglich. . ."

Aus Sicht des Datenschutzes und der Datensicherheit sind die zitierten

Zielvorstellungen: ". . . einfach, schnell und preiswert einiges Nachdenken wert.

- Einfach

Der Zugang zu Online-Diensten ohne Zweifel ständig einfacher geworden. Technische Barrieren in Form von aufwendigen Teilnehmerschnittstellen werden durch die DBP -zumindest in einem Teilbereich der Dienste laufend abgebaut. Beispiele bietet unter anderem das Fernsprechnetz mit akustisch koppelbaren Datenendgeräten und einfachen Einbaumodems im Geschwindigkeitsbereich bis 1200 Bit pro Sekunde.

- Schnell

Hier ist sicher nicht an hohe Übertragungsgeschwindigkeiten gedacht. Bei Wunsch oder Erkennen der Notwendigkeit zum Online ist der "kurze Weg zum nächsten Telefon", sei es in der öffentlichen Sprechzelle, im Hotelzimmer oder im Kundengespräch, der Ansatz. Ein Griff in den Koffer und der Koppler ist einsatzbereit.

- Preiswert

Akustische Koppler werden für wenige hundert Mark im freien Handel angeboten. Auch bei einem Teil der Modems am Fernsprechnetz verfolgt die DBP die Politik, ohne Kostenprohibitiv-offensichtlich nur noch zu quasi "Schutzgebühren"-den Zugang für nahezu jedermann zu ermöglichen. Dies gilt insbesondere für die Einbaumodems der Reihe

MDB1200-XX, die derzeit bereits ab 18 Mark im Monat erhältlich sind. Im Bereich der Übertragungsgeschwindigkeiten bis 1200 bps einschließlich sind in den letzten Jahren die Grundgebühren für Modems kontinuierlich gesenkt worden, zuletzt in der 25. und 26. Änderungsverordnung.

Zusätzlich sind Dienste im Aufbau, die ohne professionelle Eingangsvoraussetzungen den Fernzugriff auf vielerlei Kommunikationsangebote ermöglichen. Stellvertretend seien Btx und Telebox genannt. Auch hier wird systematisch das Ziel verfolgt, unter den drei oben aufgeführten Attributen - einfach, schnell, preiswert -Fernauskunft, Fernverarbeitung oder auch nur Mitteilungsdienste zu forcieren.

In einem solch nutzerfreundlichen Umfeld müssen zwangsläufig zwei Gruppen aufhorchen:

1. Unser hoffnungsvoller Nachwuchs mit bereits intensiver PC-Erfahrung, dem die "wenigen Kilobit vor Ort" nicht mehr reichen. Die Schwelle zum Experiment ist einfach zu überschreiten; die Kommunikationswelt liegt offen; unsere Junginformatiker werden neugierig und haben bald auch gelernt, wie die wesentlichen Verkehrsgebühren der Gegenseite zuzuschreiben sind. Häufig übernimmt der Betreiber eines Rechenzentrums diese sogar bewußt. Man bewegt sich also noch im legitimen Rahmen. Wir wollen in diesem

Zusammenhang bewußt keine Computerkriminalität unterstellen. Die Rechtsprechung hat sich unseres Wissens bisher nicht eindeutig artikuliert, falls jemand auf angelegten Pfaden den Weg in das Allerheiligste eines Datenstammes findet. Spätestens dann kann es

jedoch kritisch werden, weil allein schon aus Unwissenheit um sensible Zusammenhänge gravierende Fehler verursacht werden können. Spieltrieb und Neugier siegen natürlich. Die Welt der Daten steht offen ...

2. Der wirkliche Problemfall ist unmittelbar beim (semi-)professionellen Hacker mit Neigung zur Kriminalität gegeben. Hierbei spielt es keine Rolle, ob zum Beispiel Gewinnstreben oder politische Motivation vorherrschen. Ziel sind auf jeden Fall Mißbrauch und / oder Zerstörung der erreichbaren Datenbasen.

Nun mag die Argumentation aufgebaut werden, Billigmodems und Akustikkoppler seien ausschließlich im Fernsprechnetz zu verwenden. Dies ist richtig. Andererseits hat die DBP für den gewerblichen und privaten Nutzer ja gerade die Öffnung und auch Kopplung der Netze auf ihre Fahnen geschrieben. Wir können uns aus dem Fernsprechnetz nach Datex-L oder Datex-P einwählen und beispielsweise auch Rechenzentren mit 48-KBit / s -Hauptanschlüssen erreichen.

Problematisch wird es immer dann, wenn auf Seiten der Rechenzentren Wählverbindungen ohne weitreichende Schutzmechanismen betrieben werden. Zu derartigen Schutzmaßnahmen gehören nicht nur Kennworte im Log-on-Verfahren des Hosts mit tiefgestaffelten weiteren Berechtigungsschlüsseln und vertikaler Trennung der Datenbestände nach organisatorischen Zuständigkeiten.

Bereits bei Auswahl der postalischen Dateldienste mit deren besonderen Leistungsmerkmalen wird vielfach gesündigt. Man versucht vordergründig Gebühren zu sparen und berücksichtigt nicht, daß potentielle Schäden und Aufwendungen zu deren Abwendung allein auf Hostebene ein Vielfaches der eingesparten Fernmeldegebühren ausmachen können.

Es ist immer wieder festzustellen, daß besondere Leistungsmerkmale der Netze kaum bekannt und selten genutzt werden. Der Anwender kann bereits weitreichende Schutzleistungen, meist nur für geringe Aufschläge in Grund- und Verkehrsgebühren, auch bei den Wählnetzen Datex-L und Datex-P einkaufen.

Hierzu gehören unter anderem

- Direktruf und feste virtuelle Verbindungen;

- geschlossene Benutzergruppen;

- Teilnehmerkennungen und Kennungsaustausch.

Nicht zuletzt sind auch Netze auf Basis von HfD vor Mißbrauch weitestgehend geschützt. Zu letzteren sei gleichzeitig angemerkt, daß bei geschickter Dimensionierung der Verbindungswege auch unter der nutzungszeitabhängigen Tarifierung nT in einer Vielzahl von Fällen wirtschaftlich konfiguriert werden kann.

Ergänzend sollte für jeden Host-Zugang das Trennen von Verbindungen nach wenigen Feldversuchen mit Paßwörtern selbstverständlich sein. Man ist immer wieder

erstaunt, wie nachlässig viele Anwender derart wirksame Maßnahmen handhaben. Neue Verbindungen kosten den Hacker nämlich viel Geld!

Schutzkriterien

Bezüglich einer Klassifikation von Verbindungen über öffentliche Netze nach Kriterien des Zugriffschutzes gegenüber Dritten kann abschließend festgestellt werden:

- Verbindungen im Fs-Netz 1200 bps sind grundsätzlich stark gefährdet. Der Grund liegt in der niedrigen Zugangsschwelle (Verfügbarkeit, Kosten). Bei allen Verbindungen ist erhöhte Sorgfalt geboten.

- Das Fs-Netz mit höheren Anschlußgeschwindigkeiten (2400 / 4800 bps) ist aufgrund der spezifischen Modemgebühren gegenüber dem Gelegenheitshacker noch relativ sicher.

- Datex-L kann vom Fernsprechnetz aus erreicht werden; höhere Grundgebühren in DxL sind somit kein Prohibitiv. Dem Anwender ist dringend die Inanspruchnahme der postalischen Leistungen zum Zugriffschutz (GBG, Direktruf, Kennungsaustausch, ...) zusammen mit einigen Sicherungsmaßnahmen anzuempfehlen.

- Datex-P ist ebenfalls vom Fs-Netz erreichbar; GBG und feste virtuelle Verbindungen mit eigenen Maßnahmen gewährleisten erst sichere Verbindungen.

- HfD kann nur mit hohem technischen Aufwand geknackt werden und bietet die relativ höchste Sicherheitsstufe.

Zwei Klassen von Verbindungen

Zusammenfassend kann man die Dienste der DBP zur Sprach-, Text-, Bild- und Datenübertragung in zwei Klassen von Verbindungen unterteilen:

Billige und leicht erreichbare Wege mit relativ hohem Gefährdungspotential sowie komfortable und weitgehend sichere Verbindungen mit dann höheren Kosten.

Für Neukonzeptionen sind auch weiterhin beide Klassen verwendbar, wenn sich der Anwender aller Leistungsmerkmale (der positiven wie auch negativen) bewußt ist. Bei entsprechend angepaßten organisatorischen und systemintegrierten Sicherungsmaßnahmen sind heute und auch in Zukunft Kommunikationssysteme mit weitreichenden Sicherheitsstufen ausgestattet. Den totalen Schutz wird es allerdings nie geben.