Klaus-Peter Kossakowski: Computer-Würmer

 

Zur Person


Größere Projekte


IT Incident Response


Publikationen


PGP-Schlüssel


Impressum

1.1 Zum Begriff der Rechnersicherheit

Hinter dem Begriff 'Rechnersicherheit' verbergen sich verschiedene Aspekte. Die Bedeutung dieses Begriffs veränderte sich im Laufe der Jahre und spiegelte dabei die Veränderungen der Technik und Anwendung von Rechnern wieder. Historisch bedingt konzentrierte sich die Aufmerksamkeit zunächst auf die Vertraulichkeit von Informationen [Fußnote 1], also den Schutz vor nicht autorisiertem Informationsgewinn. Die Möglichkeit der Veränderung oder der Zerstörung von Informationen wurde dabei kaum berücksichtigt, weil kein staatliches, insbesondere militärisches Interesse an diesem Aspekt bestand.

Seit dem Anwachsen der Bedeutung des Einsatzes von Rechnern im Bereich der Wirtschaft konzentriert sich das Interesse auf den Aspekt der Integrität von Informationen, da die Existenz von Firmen und Banken davon abhängt. Bei den frühen methodischen Ansätzen wurde zunächst auf Modelle zurückgegriffen, die aus dem Bereich der Vertraulichkeit übertragen wurden.

Der Gesichtspunkt der Verfügbarkeit ist für jedes System sehr wichtig. Traditionsgemäß wird dieser Problembereich im Rahmen der Forschungen zur Rechnersicherheit nicht thematisiert. Neben der Vernachlässigung durch staatliche Forschungsprogramme ist die Schwierigkeit des diesem Aspekt zugrundeliegenden Problems dafür verantwortlich. Um die Verfügbarkeit eines Systems zu garantieren, muß die funktionale Korrektheit aller System-Komponenten gewährleistet sein. Die in diesem Bereich eingesetzten Maßnahmen entstammen vor allem aus dem Bereich des Software-Engineerings, der Fehlertoleranz und der formalen Methoden. So lautet denn ein eher ironisches Motto für die Haltung der Forscher: "I don't care if it works, as long as it is secure." [Gasser 1988, S. 5].

Auch heute wird der Begriff Sicherheit immer noch von den genannten drei Aspekten geprägt. So wird in den IT- Sicherheitskriterien [Fußnote 2] zwar betont, daß die Bedrohungen, denen ein System ausgesetzt ist, den Ausgangspunkt für die Aufstellung der Sicherheitsanforderungen bilden müssen, jedoch werden nur die drei traditionell berücksichtigten Risiken und Grundbedrohungen aufgeführt:

  • Verlust der Vertraulichkeit durch unbefugten Informationsgewinn,
  • Verlust der Integrität durch unbefugte Modifikation von Informationen,
  • Verlust der Verfügbarkeit durch unbefugte Beeinträchtigung der Funktionalität.
Statt in dieser Arbeit einen eigenen, umfassenderen Sicherheitsbegriff zu entwickeln, werden einzelne Aspekte der Kritik an dem Begriff der IT-Sicherheitskriterien vorgestellt. Dadurch soll der Leser zum Weiterdenken angeregt und vor allem Perspektiven für eine künftige Weiterentwicklung aufgezeigt werden.

Unterzieht man den Sicherheitsbegriff der IT-Sicherheitskriterien einer eingehenden Kritik, kann so ein umfassenderes Verständnis gewonnen werden. W. Stelzer behauptet, daß jede nur auf den drei genannten Grundbedrohungen basierende Risikoanalyse unvollständig bleiben muß, da der Begriff auf Informationen und Bedrohungen eingeengt wird. Er untermauert dies mit den folgenden Thesen [Stelzer 1990, S. 502f]:

  • Einengung auf Informationen:

    Die Einschränkung auf Informationen als Objekte der Grundbedrohungen klammert trotz der Bezugnahme auf die Sicherheit von Systemen alle anderen möglichen Objekte wie Hardware-Komponenten und Programme aus. [Fußnote 3] Selbst wenn Bedrohungen anderer Objekte als mittelbare Bedrohungen für die durch sie verarbeiteten Informationen angesehen werden, fehlen entsprechende Hinweise und Ausführungen. Diese Sichtweise wird daher der steigenden Bedeutung solcher Bedrohungen nicht gerecht und könnte zu einer falschen Einschätzung der Sicherheit eines Systems beitragen.

    Durch einige Beispiele sollen diese Aussagen verdeutlicht werden: Die Vertraulichkeit von Hardware-Komponenten oder Programmen kann gefährdet sein, da durch ihre Analyse unbefugte Personen einen Vorteil erreichen könnten. Die Modifikation von Programmen kann zu einem veränderten Systemverhalten führen, das zwar direkt keine Informationen bedroht, jedoch das Eindringen einer nicht berechtigten Person in ein System erlaubt. Die unbefugte Veränderung der Struktur eines Netzwerks fällt ebenfalls nicht unter den Gesichtspunkt der Integrität.

[Zurück zum Anfang]
  • Einengung auf Bedrohungen:

    In dem oben aufgeführten Sicherheitsbegriff wird ein Mißbrauch mit der Absicht, zu schaden, zugrundegelegt. Dies wird bereits durch den Begriff der Bedrohung [Stelzer 1990, Anm. 25] impliziert und durch die Betonung der unbefugten Handlungen noch deutlicher. Dadurch werden die Aspekte, denen kein Mißbrauch zugrundeliegt, ausgeklammert, die dem Bereich der technischen Sicherheit (der sogenannten safety im Gegensatz zu der security ) zugeordnet werden. Dies sind üblicherweise Ereignisse, die durch zufällige Gefahren wie höhere Gewalt, technisches Versagen und menschliche Unzulänglichkeiten ausgelöst werden.

H. Kersten weist darauf hin, das in den IT-Sicherheitskriterien "der Systembegriff bewußt offen gehalten worden" ist [Kersten 1992, S. 294]. Tatsächlich werden jedoch nur Kriterien für das technische Funktionieren der Sicherheitsfunktionen eines Systems vorgegeben, so daß der Systembegriff eingeschränkt wird:
  • Einengung des Systembegriffs

    Die Kriterien konzentrieren sich auf einzelne Produkte und Komponenten, die bestimmte Sicherheitsfunktionen bereitstellen sollen. Der umfassende Ansatz der für den Einsatz solcher Funktionen notwendig ist, wird zwar angedeutet, bleibt jedoch außerhalb des Evaluierungsvorgangs und der Zertifizierung. Die Verflechtung der internen Sicherheit, die durch diese Funktionen gewährleistet werden soll, mit der Garantie der externen Sicherheit, d. h. einer Umgebung, in der durch Maßnahmen der physikalischen, personellen und organisatorischen Sicherheit die Wirksamkeit der internen Sicherheitsfunktionen garantiert wird [Gasser 1988, S. 18ff], wird nicht berücksichtigt.

[Zurück zum Anfang]

 
Weitere Kritik setzt daran an, daß andere wichtige Risiken nicht angesprochen werden:

  • Verlust der Verbindlichkeit:

    Die Abwicklung von Rechtsgeschäften bzw. die Aspekte des rechtlichen Umfeldes eines Einsatzes von Systemen blieben bisher weitgehend unberücksichtigt, gewinnen aber zunehmend an Bedeutung. Zwischen zwei Parteien gibt es Absprachen, Verträge und Versprechen, deren Einhaltung verbindlich sein soll und garantiert sein muß [Amann, Atzmüller 1992, S. 287]. Unerläßlich ist in diesem Zusammenhang die Beweissicherung (Äquivalent der Unterschrift, Beteiligung eines vertrauenswürdigen Dritten) [Rihaczek 1990, S. 632].

In der wissenschaftlichen Diskussion wurden aber auch andere Aspekte benannt, von denen Risiken ausgehen können und die einen Mißbrauch ermöglichen:
  • Identität und Authentizität:

    Oft wird allein die Identifikation und Authentisierung eines Teilnehmers bzw. Benutzers gegenüber einem System berücksichtigt. Aber auch umgekehrt ist dies notwendig, um das Vertrauen eines Benutzers in das von ihm verwendete System zu gewährleisten. In weltweiten Netzwerken, die nicht mehr einer einheitlichen Administration unterliegen, kommt zudem der gegenseitigen Authentisierung von Benutzern, Prozessen und / oder Rechnern wachsende Bedeutung zu [Rihaczek 1990, S. 631].

  • Anonymität und Pseudonymität:

    Ebenso notwendig wie Identifikation und Authentisierung sind die Anforderungen an Anonymität und Pseudonymität, da sie die Vertraulichkeit der Benutzeridentität und des Benutzerverhaltens gewährleisten können. Die Abwägung zwischen diesen beiden nur oberflächlich gegensetzlich scheinenden Ansprüchen muß anwendungsabhängig erfolgen; gerade in offenen Systemen kommt dem Schutz der Privatsphäre eine wachsende Bedeutung zu. [Fußnote 4] Wesentliche Anwendungen, z. B. Kommunikations- und Zahlungssysteme, sind realisierbar, ohne daß vertraulich zu behandelnde Informationen überhaupt erst entstehen. Dabei kann auch die Authentizität der Handlungen gewährleistet werden, so daß kein rechtlicher Freiraum entsteht [GI DuD 1992, S. 234].

Ein weiteres Problem stellt die Einschränkung auf unbefugte Handlungen und damit auch auf unbefugte Personen dar. Die Problemstellung verschiedenartiger Angreifer wird nicht berücksichtigt, obwohl auch die an Entwurf, Herstellung, Distribution, Betrieb und Wartung beteiligten Personen für Risiken verantwortlich sind [GI DuD 1992, S. 234]. Im Hinblick auf die unbefugten Handlungen, die allen drei Grundbedrohungen zugrunde gelegt werden, wird nicht deutlich, worauf sich die Einstufung bezieht. So kann zwar der Umgang im Rahmen der durch die Sicherheitsfunktionen vorgegebenen Schranken korrekt, jedoch nicht angemessen sein, wenn die gewährten Rechte in einer den realen Anforderungen an die übertragenen Aufgaben nicht entsprechenden Form ausgenutzt werden (d. h. Mißbrauch der Rechte eines autorisierten Benutzers durch diesen selbst).

Bei der Definition von Sicherheit gibt es zwei Kategorien [Stelzer 1990, S. 503f], deren eine liegt die Abwesenheit von bestimmten Bedrohungen und Risiken zugrunde (Betonung der Risikoanalyse), während die andere auf der Existenz und Wirksamkeit bestimmter Sicherheitsfunktionen beruht (Betonung der Sicherheitsmaßnahmen). Der Ausgangspunkt dieses Abschnitts, der Sicherheitsbegriff der IT-Sicherheitskriterien, ist der zweiten Kategorie zuzuordnen. Die Unvollständigkeit der durch diese Kriterien erfaßten Grundbedrohungen schränkt ihre Relevanz für die Anwender ein, da weitere Risiken ausgeblendet und nicht berücksichtigt werden. Der Anwender wird, wenn ihm diese Unvollständigkeit nicht bewußt ist, getäuscht und empfindet eine Sicherheit, die so nicht gegeben ist. So kommt W. Stelzer zu dem Schluß, daß der Ausschluß bekannter Risiken Sicherheit nicht gewährleisten kann. Gleiches gilt für die Existenz bestimmter Sicherheitsmaßnahmen. Während Sicherheit zwar in bezug auf einzelne Aspekte verbessert werden kann, ist eine umfassende Garantie nicht möglich [Stelzer 1990, S. 505].

Dies erweckt den Eindruck, Sicherheit sei generell unmöglich. Obwohl nun von einer vorgetäuschten Sicherheit nicht mehr die Rede sein kann, tritt ein demotivierender Effekt ein. Da eine umfassende Sicherheit nie erreicht werden kann, könnte man zu dem Standpunkt gelangen, es müßten auch keine entsprechenden Maßnahmen ergriffen werden. Eine solche Haltung wäre fatal und unrealistisch. Gerade die umfassende und kritische Sichtweise ermöglicht es, die realen Risiken und Bedrohungen zu erkennen. Die Suche nach neuen Gefahren muß dabei kontinuierlich fortgesetzt werden, wodurch verhindert wird, daß sich die weitere Entwicklung auf die bekannten Bedrohungen und Risiken konzentriert.

Mit dem Begriff der Sicherheit wird also kein statischer Zustand bezeichnet, sondern ein Ziel, das es zu erreichen gilt, das aber nicht in jedem Fall erreicht werden kann. Dies wird bereits aus der Definition von Sicherheit deutlich, die subjektiv als Zustand des Unbedrohtseins empfunden wird, wenn ein Mensch von der Zuverlässigkeit der Sicherungs- und Schutzeinrichtungen oder dem Fehlen von Gefahrenquellen überzeugt ist. Die Wirksamkeit einer Sicherungs- oder Schutzeinrichtungen kann nur nachgewiesen werden, indem das Maß an Energie bestimmt wird, das erforderlich ist, um den Schutz zu brechen. Jede Schutzmaßnahme wird nutzlos, wenn ein darüber hinausgehendes Maß an Energie eingesetzt wird. Dieses Spannungsverhältnis, in dem die Energie, die ein potentieller Angreifer zu investieren bereit ist, zusammen mit dem angemessenen Maß an Schutz, das aufgewendet werden soll, bestimmt werden muß, macht Sicherheit für uns so schwierig. Jeder Betroffene kann darum nur allein und subjektiv entscheiden, welche Maßnahmen seinem persönlichen Schutzbedürfnis entsprechen. Der Sicherheitsbegriff und die darauf aufbauenden Sicherheitskriterien müssen also alle bekannten Bedürfnisse berücksichtigen und geeignete Sicherheitsmaßnahmen darstellen und klassifizieren, um den Betroffenen eine Auswahl zu erlauben, die ihren Bedürfnissen gerecht wird. Kommen neue Bedrohungen und Gefährdungen hinzu, müssen Kriterien und Maßnahmen entsprechend ergänzt und angepaßt werden, um der veränderten Situation und neuen Bedürfnissen Rechnung zu tragen.

Besonders deutlich haben sich die Unzulänglichkeiten des eingeschränkten Sicherheitsbegriffs bei der immer mehr an Bedeutung gewinnenden Bedrohung durch sogenannte Systemanomalien gezeigt.

[Zurück zum Anfang]

 

Fußnoten:
  1. Dies führte zur Aufstellung der TCSEC [US DoD 1983] und [US DoD 1985], die später durch weitere Dokumente ergänzt wurden.
  2. Die IT-Sicherheitskriterien [ZSI 1989] wurden stellvertretend für andere Kriterienkataloge, z. B. den TCSEC [US DoD 1985] und den Information Technology Security Evaluation Criteria (ITSEC) [ITSEC 1990], deren Sicherheitsbegriffe weitgehend identisch definiert werden, ausgewählt.
  3. Als Information wird üblicherweise unabhängig von der Form ihrer Repräsentation durch Daten ein Wissenselement verstanden. Dabei kann es sich auch um eine Handlungsanweisung handeln. Ein Datum ist ein erkennbarer Zustand auf einem beliebigen Speichermedium [Atzmüller, Pertzsch 1990, S. 12]. Im IT-Sicherheitsrahmenkonzept, das die Grundlage für die Herausgabe der IT-Sicherheitskriterien bildet, werden Informationen jedoch als "Form von Texten, Daten, Bildern oder Sprache" [BMI 1989, S. 298, Anm. 1] verstanden.
  4. Vgl. dazu das Urteil zur Volkszählung [BVerfGE 65, 1, S. 1ff und 41ff] und Forschungsergebnisse, z. B. zur Reidentifizierbarkeit von Personen aus statistischen Informationen [Fischer-Hübner 1986].

Literaturangaben:
  1. [Gasser 1988]: Building a Secure Computer System / Gasser, M. - New York, NY: Van Nostrand Reinhold, 1988.
  2. [Stelzer 1990]: Kritik des Sicherheitsbegriffs im IT-Sicherheitsrahmenkonzept / Stelzer, D. - In: Datenschutz und Datensicherung. - Vol. 14, Nr. 10, Oktober 1990, S. 501-506.
  3. [Kersten 1992, S.294]: keine nähere Angabe möglich.
  4. [Amann, Atzmüller 1992]: IT-Sicherheit - was ist das? / Amann, E.; Atzmüller, H. - In: Datenschutz und Datensicherung. - Vol. 16, Nr. 6, Juni 1992, S. 286-292.
  5. [Rihaczek 1990]: Die harmonisierten Evaluationskriterien für IT-Systeme / Rihaczek, K. - In: Datenschutz und Datensicherung. - Vol. 14, Nr. 12, Dezember 1990, S. 628-634.
  6. [GI DuD 1992]: Stellungnahme zu den Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC) V1.2 / Präsidiumsarbeitskreis Datenschutz und Datensicherung der Gesellschaft für Informatik. - In: Datenschutz und Datensicherung. - Vol. 16, Nr. 5, Mai 1992, S. 233-236.
  7. [US DoD 1983]: Department of Defense Trusted Computer System Evaluation Criteria / Hrsg. v. US Department of Defense. - Fort George G. Mead, Maryland: Department of Defense, 1983. - CSC-STD-001-83 vom 15. August 1983.
  8. [US DoD 1985]: Trusted Computer System Evaluation Criteria / Hrsg. v. US Department of Defense. - Washington, D.C: Department of Defense, 1985. - DoD 5200.28 vom Dezember 1985.
  9. [ZSI 1989]: IT-Sicherheitskriterien : Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (IT) / Hrsg. v. d. Zentralstelle für Sicherheit in der Informationstechnik. - 1. Fassung. - Köln: Bundesanzeiger Verlagsgesellschaft, 1989.
  10. [ITSEC 1990]: Information Technology Security Evaluation Criteria (ITSEC) : Harmonised Criteria of France - Germany - the Netherlands - the United Kingdom / Hrsg. v. Bundesminister des Innern. - Version 1. - Bonn, 1990.
  11. [Atzmüller, Pertzsch 1990]: Begriffsordnungen / Atzmüller, H.; Pertzsch, B. - Ottobrunn: Industrieanlagen- Betriebsgesellschaft mbH, 1990. - REMO.0014.02, 26. Juni 1990.
  12. [BMI 1989]: Rahmenkonzept zur Gewährleistung der Sicherheit bei Anwendung der Informationstechnik : IT-Sicherheitsrahmenkonzept / Hrsg. v. Bundesministerium des Innern - In: Datenschutz und Datensicherung. - Vol. 13, Nr. 6, Juni 1989, S. 291-299.
  13. [BVerfGE 65]: Entscheidungen des Bundesverfassungsgerichts / Hrsg. v. d. Mitgliedern des Bundesverfassungsgerichts. - 65. Band. - Tübingen: J. C. B. Mohr, 1984.
  14. [Fischer-Hübner 1986]: Zur Anonymität und Reidentifizierbarkeit statistischer Daten / Fischer-Hübner, S. - Universität Hamburg, Fachbereich Informatik. - Hamburg, 1986. - Mitteilung FBI-HH-M-143

[Zurück] [Inhaltsverzeichnis] [Weiter]

© 1998-2001 by Klaus-Peter Kossakowski, Germany.