Klaus-Peter Kossakowski: Computer-Würmer
|
||
Zur Person
|
1.1 Zum Begriff der Rechnersicherheit
Hinter dem Begriff 'Rechnersicherheit' verbergen sich
verschiedene Aspekte. Die Bedeutung dieses Begriffs
veränderte sich im Laufe der Jahre und spiegelte dabei die
Veränderungen der Technik und Anwendung von Rechnern wieder.
Historisch bedingt konzentrierte sich die Aufmerksamkeit
zunächst auf die Vertraulichkeit von Informationen
[Fußnote 1], also den Schutz vor nicht autorisiertem
Informationsgewinn. Die Möglichkeit der Veränderung
oder der Zerstörung von Informationen wurde dabei kaum
berücksichtigt, weil kein staatliches, insbesondere
militärisches Interesse an diesem Aspekt bestand.
Seit dem Anwachsen der Bedeutung des Einsatzes von Rechnern im
Bereich der Wirtschaft konzentriert sich das Interesse auf den
Aspekt der Integrität von Informationen, da die
Existenz von Firmen und Banken davon abhängt. Bei den
frühen methodischen Ansätzen wurde zunächst auf
Modelle zurückgegriffen, die aus dem Bereich der
Vertraulichkeit übertragen wurden.
Der Gesichtspunkt der Verfügbarkeit ist für
jedes System sehr wichtig. Traditionsgemäß wird dieser
Problembereich im Rahmen der Forschungen zur Rechnersicherheit
nicht thematisiert. Neben der Vernachlässigung durch
staatliche Forschungsprogramme ist die Schwierigkeit des diesem
Aspekt zugrundeliegenden Problems dafür verantwortlich. Um
die Verfügbarkeit eines Systems zu garantieren, muß
die funktionale Korrektheit aller System-Komponenten
gewährleistet sein. Die in diesem Bereich eingesetzten
Maßnahmen entstammen vor allem aus dem Bereich des
Software-Engineerings, der Fehlertoleranz und der formalen
Methoden. So lautet denn ein eher ironisches Motto für die
Haltung der Forscher: "I don't care if it works, as long as it
is secure." [Gasser 1988, S. 5].
Auch heute wird der Begriff Sicherheit immer noch von den
genannten drei Aspekten geprägt. So wird in den IT-
Sicherheitskriterien [Fußnote 2]
zwar betont, daß
die Bedrohungen, denen ein System ausgesetzt ist, den
Ausgangspunkt für die Aufstellung der
Sicherheitsanforderungen bilden müssen, jedoch werden nur
die drei traditionell berücksichtigten Risiken und
Grundbedrohungen aufgeführt:
Unterzieht man den Sicherheitsbegriff der IT-Sicherheitskriterien
einer eingehenden Kritik, kann so ein umfassenderes
Verständnis gewonnen werden. W. Stelzer behauptet, daß
jede nur auf den drei genannten Grundbedrohungen basierende
Risikoanalyse unvollständig bleiben muß, da der
Begriff auf Informationen und Bedrohungen eingeengt wird. Er
untermauert dies mit den folgenden Thesen [Stelzer 1990,
S. 502f]:
Die Einschränkung auf Informationen als Objekte der
Grundbedrohungen klammert trotz der Bezugnahme auf die Sicherheit
von Systemen alle anderen möglichen Objekte wie
Hardware-Komponenten und Programme aus. [Fußnote 3]
Selbst wenn Bedrohungen anderer Objekte als mittelbare
Bedrohungen für die durch sie verarbeiteten Informationen
angesehen werden, fehlen entsprechende Hinweise und
Ausführungen. Diese Sichtweise wird daher der steigenden
Bedeutung solcher Bedrohungen nicht gerecht und könnte zu
einer falschen Einschätzung der Sicherheit eines Systems
beitragen.
Durch einige Beispiele sollen diese Aussagen verdeutlicht werden:
Die Vertraulichkeit von Hardware-Komponenten oder Programmen kann
gefährdet sein, da durch ihre Analyse unbefugte Personen
einen Vorteil erreichen könnten. Die Modifikation von
Programmen kann zu einem veränderten Systemverhalten
führen, das zwar direkt keine Informationen bedroht, jedoch
das Eindringen einer nicht berechtigten Person in ein System
erlaubt. Die unbefugte Veränderung der Struktur eines
Netzwerks fällt ebenfalls nicht unter den Gesichtspunkt der
Integrität.
|
|
|
||
Die Abwicklung von Rechtsgeschäften bzw. die Aspekte des
rechtlichen Umfeldes eines Einsatzes von Systemen blieben bisher
weitgehend unberücksichtigt, gewinnen aber zunehmend an
Bedeutung. Zwischen zwei Parteien gibt es Absprachen,
Verträge und Versprechen, deren Einhaltung verbindlich sein
soll und garantiert sein muß [Amann, Atzmüller 1992,
S. 287]. Unerläßlich ist in diesem Zusammenhang die
Beweissicherung (Äquivalent der Unterschrift, Beteiligung
eines vertrauenswürdigen Dritten) [Rihaczek 1990, S. 632].
Oft wird allein die Identifikation und Authentisierung eines
Teilnehmers bzw. Benutzers gegenüber einem System
berücksichtigt. Aber auch umgekehrt ist dies notwendig, um
das Vertrauen eines Benutzers in das von ihm verwendete System
zu gewährleisten. In weltweiten Netzwerken, die nicht mehr
einer einheitlichen Administration unterliegen, kommt zudem der
gegenseitigen Authentisierung von Benutzern, Prozessen und / oder
Rechnern wachsende Bedeutung zu [Rihaczek 1990, S. 631].
Ebenso notwendig wie Identifikation und Authentisierung sind die
Anforderungen an Anonymität und Pseudonymität, da sie
die Vertraulichkeit der Benutzeridentität und des
Benutzerverhaltens gewährleisten können. Die
Abwägung zwischen diesen beiden nur oberflächlich
gegensetzlich scheinenden Ansprüchen muß
anwendungsabhängig erfolgen; gerade in offenen Systemen
kommt dem Schutz der Privatsphäre eine wachsende Bedeutung
zu.
[Fußnote 4] Wesentliche Anwendungen, z. B.
Kommunikations- und Zahlungssysteme, sind realisierbar, ohne
daß vertraulich zu behandelnde Informationen überhaupt
erst entstehen. Dabei kann auch die Authentizität der
Handlungen gewährleistet werden, so daß kein
rechtlicher Freiraum entsteht [GI DuD 1992, S. 234].
Bei der Definition von Sicherheit gibt es zwei Kategorien
[Stelzer 1990, S. 503f], deren eine liegt die Abwesenheit von
bestimmten Bedrohungen und Risiken zugrunde (Betonung der
Risikoanalyse), während die andere auf der Existenz und
Wirksamkeit bestimmter Sicherheitsfunktionen beruht (Betonung der
Sicherheitsmaßnahmen). Der Ausgangspunkt dieses Abschnitts,
der Sicherheitsbegriff der IT-Sicherheitskriterien, ist der
zweiten Kategorie zuzuordnen. Die Unvollständigkeit der
durch diese Kriterien erfaßten Grundbedrohungen
schränkt ihre Relevanz für die Anwender ein, da weitere
Risiken ausgeblendet und nicht berücksichtigt werden. Der
Anwender wird, wenn ihm diese Unvollständigkeit nicht
bewußt ist, getäuscht und empfindet eine Sicherheit,
die so nicht gegeben ist. So kommt W. Stelzer zu dem
Schluß, daß der Ausschluß bekannter Risiken
Sicherheit nicht gewährleisten kann. Gleiches gilt für
die Existenz bestimmter Sicherheitsmaßnahmen. Während
Sicherheit zwar in bezug auf einzelne Aspekte verbessert werden
kann, ist eine umfassende Garantie nicht möglich [Stelzer
1990, S. 505].
Dies erweckt den Eindruck, Sicherheit sei generell
unmöglich. Obwohl nun von einer vorgetäuschten
Sicherheit nicht mehr die Rede sein kann, tritt ein
demotivierender Effekt ein. Da eine umfassende Sicherheit nie
erreicht werden kann, könnte man zu dem Standpunkt gelangen,
es müßten auch keine entsprechenden Maßnahmen
ergriffen werden. Eine solche Haltung wäre fatal und
unrealistisch. Gerade die umfassende und kritische Sichtweise
ermöglicht es, die realen Risiken und Bedrohungen zu
erkennen. Die Suche nach neuen Gefahren muß dabei
kontinuierlich fortgesetzt werden, wodurch verhindert wird,
daß sich die weitere Entwicklung auf die bekannten
Bedrohungen und Risiken konzentriert.
Mit dem Begriff der Sicherheit wird also kein statischer Zustand
bezeichnet, sondern ein Ziel, das es zu erreichen gilt, das aber
nicht in jedem Fall erreicht werden kann. Dies wird bereits aus
der Definition von Sicherheit deutlich, die subjektiv
als Zustand des Unbedrohtseins empfunden wird, wenn ein Mensch
von der Zuverlässigkeit der Sicherungs- und
Schutzeinrichtungen oder dem Fehlen von Gefahrenquellen
überzeugt ist. Die Wirksamkeit einer Sicherungs- oder
Schutzeinrichtungen kann nur nachgewiesen werden, indem das
Maß an Energie bestimmt wird, das erforderlich ist, um den
Schutz zu brechen. Jede Schutzmaßnahme wird nutzlos, wenn
ein darüber hinausgehendes Maß an Energie eingesetzt
wird. Dieses Spannungsverhältnis, in dem die Energie, die
ein potentieller Angreifer zu investieren bereit ist, zusammen
mit dem angemessenen Maß an Schutz, das aufgewendet werden
soll, bestimmt werden muß, macht Sicherheit für uns
so schwierig. Jeder Betroffene kann darum nur allein und
subjektiv entscheiden, welche Maßnahmen seinem
persönlichen Schutzbedürfnis entsprechen. Der
Sicherheitsbegriff und die darauf aufbauenden
Sicherheitskriterien müssen also alle bekannten
Bedürfnisse berücksichtigen und geeignete
Sicherheitsmaßnahmen darstellen und klassifizieren, um den
Betroffenen eine Auswahl zu erlauben, die ihren Bedürfnissen
gerecht wird. Kommen neue Bedrohungen und Gefährdungen
hinzu, müssen Kriterien und Maßnahmen entsprechend
ergänzt und angepaßt werden, um der veränderten
Situation und neuen Bedürfnissen Rechnung zu tragen.
Besonders deutlich haben sich die Unzulänglichkeiten des
eingeschränkten Sicherheitsbegriffs bei der immer mehr an
Bedeutung gewinnenden Bedrohung durch sogenannte Systemanomalien
gezeigt.
|
||
|
||
|
© 1998-2001 by Klaus-Peter Kossakowski, Germany.