Sicherheit in Netzen

Prof. Jürgen Plate
Dipl.-Ing. Jörg Holzmann

Was verbirgt sich eigentlich hinter dem Begriff Sicherheit? Ganz allgemein kann man damit das Recht auf die Vertraulichkeit und Unversehrtheit seiner Daten bezeichnen. Sicherheit in Netzen ist ein Thema das mit der steigenden Benutzerzahl im Internet zunehmend Interesse findet. Bis vor kurzem war man im Internet unter sich und Sicherheit war nur ein Thema weniger Aussenseiter. Da aber seit geraumer Zeit das Internet von Menschenmassen verschiedenster Kulturkreise gestürmt wird, sollte man sich mit diesem Thema auseinander setzen.

Jeder, der seinen Rechner an das Internet anschließt, sich eine Internetadresse sowie die TCP/IP-Software besorgt und installiert, muß sich darüber im Klaren sein, daß er damit seinen Rechner potentiell mit einigen Millionen anderer Rechner in Verbindung bringt. So wie man selbst alle möglichen fremden Rechner erreichen kann, ist man auch für jedermann kontaktierbar. Das Internet ist offen und um den Individualismus im Netz sowenig wie möglich einzuschränken, müssen Sicherheitsvorkehrungen an den Endgeräten getroffen werden.

Als erste Maßnahme zu einem guten Sicherheitskonzept gehört ein vernünftiges und regelmäßiges Backup. Nach der Erstinstallation eines PCs oder einer Workstation fertigt man ein Backup der Stunde Null an. Das ist für Notfälle der letzte Rettungsanker,denn was nützt einem ein zwei Wochen altes Backup, wenn das System bereits vor acht Monaten gecrackt wurde. Danach sollte man regelmäßige Backups durchführen, z.B. ein vollständiges Backup alle zwei Wochen, dazwischen täglich inkrementelle Backups. Für PCs mit Windows 95/98 eignet sich "Drive Image" von Powerquest, bei Workstations mit Linux/UNIX reichen oft tar, dump und restore.

Eine weitere Gefahr liegt im Fehlverhalten des Netzneulings. Heute werden wir alle belästigt von Werbe-Email, Webseiten mit aktiven Inhalten oder Eindringlingen, die versuchen in den Rechner zu kommen. Arglose Benutzer klicken sich Viren oder 0190-Dialer in den eigenen Rechner oder geben Kettenbriefe weiter.

In den meisten Fällen wird man für den Netzzugang die Dienste eines Providers in Anspruch nehmen und das WWW-Angebot auf einem Server des Providers halten. In diesem Fall ist natürlich auch der Provider verantwortlich für die Abwehr von Angriffen auf seine Rechnersysteme - aber nur soweit diese in seinem Einflußbereich liegen, also beispielsweise das Anzapfen von Leitungen oder Sicherheitslücken im Betriebssystem betreffen. Wenn Sie als Kunde unvorsichtig mit Ihrem Zugangspaßwort umgehen, liegt die Verantwortung bei Ihnen. Ebenso sind die Kunden eines Providers für die eingespielten Angebote juristisch haftbar, z. B. bei Copyrightverletzungen.

Seltener ist wohl der Fall, daß ein eigener Server-Rechner beim Provider aufgestellt wird. So etwas ist auch nur bei spezielleren Nutzungsformen nötig, z. B. bei eigenen Datenbanken oder speziellen Dienstprogrammen. Noch seltener ist es, wenn der Server im eigenen Unternehmen steht und er über eine Standleitung mit einem Provider verbunden ist. In beiden Fällen ist man sein eigener Provider und muß daher auch mit allen Sicherheitsproblemen selbst fertig werden.

1.2 Paragraphen

Nur damit keiner sagen kann er hat nichts gewußt, hier einige Paragraphen:

Strafgesetzbuch:

Unbefugte Datenbeschaffung
Unbefugtes Eindringen in ein Datenverarbeitungssystem
Datenbeschädigung

Zweites Gesetz zur Bekämpfung der Computerkriminalität:

Ausspähen von Daten
(1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen beschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Computerbetrug
(1)Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
Datenveränderung
(1)Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft,
Computersabotage
(1)Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, daß er
1. eine Datenveränerung durchführt oder
2. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt oder unbrauchbar macht, beseitigt oder verändert,
wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

Bundesgesetz über den Datenschutz

Die folgenden Ausdrücke bedeuten:

Personendaten (Daten): alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen.
Betroffene Personen: natürlich oder juristische Personen, über die Daten bearbeitet werden.
Besonders schützenswerte Personendaten: Daten über
1. Die religieusen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten.
2. Die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit.
3. Massnahmen der sozialen Hilfe.
4. Administrative oder strafrechtliche Verfolgungen und Sanktionen
Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt
Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten
Bekanntgeben: das Zugänglichmachen von Personendaten wie das Einsichtgewähren, Weitergeben oder Veröffentlichen
Datensammlung: jeder Bestand von Personendaten, der so aufgebaut ist, das die Daten nach betroffenen Personen erschließbar sind
Bundesorgane: Behörden und Dienststellen des Bundes sowie Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind
Inhaber der Datensammlung: private Personen oder Bundesorgane, die über den Zweck und Inhalt einer Datensammlung entscheiden
Grundsätze
1. Personendaten dürfen nur rechtmäßig beschafft werden.
2. Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muß verhältnismäßig sein.
3. Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.

1.3 Gefahrenkategorien

Informationen können wie physische Gegenstände geändert, zerstört oder außer Reichweite für den rechtmäßigen Besitzer gebracht werden. Aber im Gegensatz zu physischen Gegenständen können Informationen kopiert und in vielen Fällen modifiziert oder gelöscht werden, ohne daß Spuren hinterlassen werden. Die Kosten des Kopierens oder Abhörens sind relativ gering im Vergleich zum Wert der aufgeschnappten Information.
Es ist deshalb von wesentlicher Bedeutung, daß jede Organisation als Ganzes Verständnis für die Notwendigkeit von Sicherheitsmaßnahmen hat. Die Maßnahmen müssen die drei primären Sicherheitsaspekte berücksichtigen.

Datenzugänglichkeit
Alle Arbeitsplätze im Netz müssen ständig Zugang zu ihren Daten haben. Zur Aufrechterhaltung der Zugänglichkeit ist es notwendig, Hardware, Arbeitsstationen, Software, Datenkommunikationsleitungen, Stromversorgung, Gebäude u. a. zu sichern. Daten sind unzugänglich, wenn sowohl zentrale als auch dezentrale Systeme nicht funktionieren.
Datenqualität
Datenqualität (Datenintegrität) bezeichnet den Umstand, daß die gespeicherten Daten die Realität exakt widerspiegeln sollen. Es dürfen daher weder Unfälle noch Eingriffe von außen Unstimmigkeiten zwischen den gespeicherten Daten und der Realität hervorrufen.
Datengeheimnis
Die Daten des Systems können nur von den Personen gelesen und benutzt werden, die dazu berechtigt sind. Die Wahrung des Datengeheimnisses ist für die Konkurrenzfähigkeit des Unternehmens von Bedeutung, aber auch in Bezug auf externe Umstände, wie z. B. die Gesetzgebung.

Mangelnde Datenzugänglichkeit, Datenqualität (-integrität) und mangelndes Datengeheimnis können schwerwiegende Folgen haben:

Geldverlust
Imageverlust
Verletzung gesetzlicher Vorschriften
Gestiegene Betriebskosten
Verlorene Geschäftsmöglichkeiten
Nachteile gegenüber der Konkurrenz
Irreführende Bilanzen

Wo einer oder mehrere der drei Sicherheitsaspekte verletzt werden, müssen nicht zwangsläufig von Sabotage herrühren. Es kann sich beispielsweise auch um unverschuldete Unfälle, wie Benutzerfehler, Brand- oder Wasserschaden handeln. Die Konsequenzen können jedoch für das betroffene Unternehmen genauso schädlich sein.

Jeder, der seinen Rechner an das Internet anschließt, muß sich darüber im Klaren sein, daß er damit seinen Rechner potentiell mit einigen Millionen anderer Rechner in Verbindung bringt. So wie man selbst alle möglichen fremden Rechner erreichen kann, ist man auch für jedermann kontaktierbar. Mit zunehmender Vernetzung wächst aber auch der Bedarf am Schutz der Privatsphäre. Während für die Briefpost und für die Telekom ein Postgeheimnis gilt, gibt es bei Weitverkehrsnetzen nichts Vergleichbares. Bei einer Ansammlung von weltweit miteinander vernetzten Computern ist ein Briefgeheimnis auch nicht möglich. Nachrichten, die Sie beispielsweise über das Internet verschicken, laufen über viele Rechner (meist sind es aber nur Router). Theoretisch ist es an jeder Stelle im Netz möglich, Ihre Daten abzuhören und zu speichern.

Zuerst wird beurteilt, welchen Gefahren man ausgesetzt sind. Unter Gefahren werden Faktoren verstanden, die im Zusammenspiel mit der Verwundbarkeit der Netz-Ressourcen die drei Datensicherheitsaspekte Datenzugänglichkeit, Datenqualität und Datengeheimnis bedrohen. Die Gefahren, die es im Zusammenhang mit dem Betrieb von Netze gibt, können in drei Hauptkategorien aufgeteilt werden:

menschliche,
technische und
umweltbedingte.

Die Beurteilung der möglichen Gefahren für das Netz des Unternehmens bildet die Grundlage für eine Liste konkreterer Ereignisse oder Szenarien.

Menschliche Schwächen und Gefahren

Schuld an den meisten Problemen sind ungeschickte oder unkundige Anwender. Anwenderfehler können unterschiedliche Folgen haben, z. B. unerwünschtes Löschen von Daten, Überschreiben von Daten und Verschwinden von Daten (verborgen und/oder vergessen). Ungeschickte Anwender zerstören oder löschen Dateien, mit denen Sie selbst arbeiten, und wenn beispielsweise der Fileserver keinen genügend restriktive Zugriffsschutz bietet, kann der Betreffende durch ein Mißgeschick gemeinsame Programme oder Daten löschen.
Weitere Beispiele menschlicher Fehler sind Fehlbedienung und verkehrte Installation von Programmen. Fehlbedienungen können unterschiedliche Folgen haben, von kleineren Datenfehlern bis zum totalen Herunterfahren des lokalen Netzes. Kritisch ist es auch, wenn nur wenige Mitarbeiter des Unternehmens bestimmte Informationen haben. Bei Abwesenheit eines solchen "Informationsträgers" (Krankheit, Unfälle, externe Arbeitsaufgaben, Kündigung, Versetzung u.a.m.) können unter Umständen ganze Bereiche der Firma lahmgelegt sein.
Verbrechen, die gegen Daten gerichtet sind, sind häufig unrechtmäßiges Kopieren von Daten und Software oder der Diebstahl von Disketten und Bändern. Eine weitere Gefahrenquelle stellt die Infektion mit sogenannten Computer-Viren dar. Das Eindringen in den Rechner via Modem und Telefonverbindungen ist ebenfalls eine steigende Bedrohung offener Systeme.
Verbrechen, die gegen Material gerichtet sind, können Diebstahl von Hardware, Zerstörung von EDV-Material und Sachbeschädigung von Räumen umfassen. Eingriffe durch Fremde oder unzufriedene Mitarbeiter können Konsequenzen auf die Funktion des System und damit auf das Unternehmen in Form von verlorenen Daten oder eines inoperativen Netzes haben. Andere finanzielle Verluste können als Folge von bewußten kriminellen Handlungen geschehen, wie beispielsweise Unterschlagung, Spionage und Sabotage.
Im weitesten Sinn zur Sabotage gehört auch, wenn jemand Dokumente unter Ihrem Namen übers Netz verschicken oder abgefangene Dokumente verfälscht (letzteres gab es natürlich seit der Antike auch schon beim Versand von Papierdokumenten und in neuerer Zeit bei Fernschreiben oder Telefax).
Aber auch Äßerungen in Newsgruppen, per E-Mail oder im Chat, die als Statement der Firma mißverstanden werden können, sind oft problematisch. Dabei denkt man oft gar nicht daran, daß Mails oder Newsbeiträge schon dann mit der Firma in Bezug gebracht werden, wenn sie vom Firmenaccount aus geschickt werden.

Der Systemverwalter hat eine alles entscheidende Bedeutung für einen problemlosen Betrieb des lokalen Netzes, sowohl in positiver als auch in negativer Hinsicht. Der Systemverwalter hat die umfassendsten Berechtigungen im Netz, was bedeutet, daß Fehler des Betreffenden weitreichende und katastrophale Konsequenzen haben können (Zitat: "Die beiden größten Gefahren für Server und Netz sind Putzpersonal und der Systemverwalter.").
Es wird immer eine Gefahr durch menschliche Fehler geben, aber ausreichende und einschlägige Ausbildung sowie zweckmäßige Arbeitsverhältnisse und Ressourcen sind Faktoren, die dazu beitragen können, diese Gefahr zu verringern. In Situationen, wo die Zusammenarbeit zwischen dem Unternehmen und dem Systemverwalter im Streit beendet wird, entsteht eine besondere Problematik.

Der Systemverwalter verfügt über Wissen, das eine Bedingung für den weiteren Betrieb ist. Gibt es keinen Stellvertreter, oder ist das Netz nicht dokumentiert, ist der weitere Betrieb gefährdet.
Der Systemverwalter hat die Möglichkeit, den Netz-Betrieb zu unterbrechen und vitale Daten zu löschen.
Der Systemverwalter hat Zugang zu vertraulichem Wissen, das nicht nach außen gelangen darf.

Genaue Richtlinien für Vorkehrungen gegen Sabotage durch den Systemverwalter sind schwer zu geben, aber bestimmte Vorgaben, wie gründliche Dokumentation, zweckmäßige Anstellungsbedingungen sowie eine sichere Kündigungsprozedur müssen bedacht werden. Auf jeden Fall muß einem Systemverwalter, dem wegen Verfehlungen gekündigt wird, jeder Zugang zum System verwehrt werden; am besten noch, bevor er von der Kündigung erfährt.

Technische Gefahren

Heutige und zukünftige Netze sind gekennzeichnet durch einen hohen Grad von Komplexität und gleichzeitig dadurch, daß die einzelnen Komponenten bis zum Äußersten genutzt werden. Hierzu kommen die Probleme, die entstehen, wenn die Produkte verschiedener Hersteller kombiniert werden. Jede einzelne Komponente ist ein Glied in einer Kette, und wenn die Komponente irgendwann versagt, kann dies weitreichende Konsequenzen für den Rest des Systems haben. Komponenten, die nur teilweise Industriestandards einhalten, oder die in Zusammenhängen verwendet werden, für die sie ursprünglich nicht gedacht waren, tragen zu neuen und in vielen Fällen unvorhersehbaren Fehlertypen bei. Softwarebedingte Betriebsstörungen als Folge von falscher oder mangelhafter Konfiguration, Programmfehler (bugs), Inkompatibilität u.a.m. sind auch relevante Gefahren.
Hardwarebedingte Betriebsstörungen können als Folge von falscher oder mangelhafter Konfiguration oder Installation entstehen. Hardware-Inkompatibilität oder zerstörte Komponenten sind auch typische hardwarebedingte Ereignisse. Andere Betriebsstörungen können durch Stromausfall, mangelhafte Kühlung u.a.m. verursacht werden.
Gefahren, die über das Netz einwirken, können von innen oder von außen kommen. In der Mehrzahl aller dokumentierten Fälle kommt der Hacker aus der eigenen Firma. Insbesondere durch unzufriedene Mitarbeiter, die beim Weggang aus der Firma Sabotage verüben oder sich eine 'Hintertür' im Rechner offen halten.
Für Nutzer von Unix- oder Windows-NT-Maschinen, bei denen in der Regel Server-Prozesse automatisch im Hintergrund laufen, heißt dies, daß sie ihre Maschinen gegen unberechtigten Gebrauch zu schützen haben. Gefahren drohen hier auch von Fehlern im Betriebssystem. Der Rechnerbetreiber muß sich regelmäßig über Sicherheitslücken informieren und entsprechende Korrekturen des Betriebssystems (sogenannte 'Patches') einspielen. Eine hardwareunabhängige Sammlung der Fehler und die Initiative zur Behebung derselben unternehmen die CERTs (Computer Emergency Response Team). Wie viele Einrichtungen im Internet existieren CERTs auf mehreren Ebenen. Das deutsche CERT (DFN-CERT) ist an der UNI Hamburg lokalisiert.
PCs mit Windows 95, 98 und ME sind zwar nicht so exponiert, bieten aber auch noch genügend Angriffsfläche, z. B. durch "Denial-of-Service" (siehe unten) oder durch Zugriff auf freigegebene Resourcen (Platte, Drucker).

Umweltbedingte Gefahren

Dies können Feuer- und Wasserschaden oder Gefahren sein, die von den Umgebungsbedingungen des Unternehmes ausgehen. Feuer und die sich daraus ergebenden Beeinträchtigungen (Wasser- und Rauchschäden) können sehr weitreichende Konsequenzen für den Betrieb haben, und es wird sich oftmals um so umfassende Zerstörungen handeln, daß nicht nur der Netz-Betrieb betroffen ist. Oftmals handelt es sich um eine gewaltige und langwierige Beeinträchtigung, und nur eine vernünftige Sicherung des lokalen Netzes kann die Wiederherstellung des Unternehmens wesentlich voranbringen.

Meist handelt es sich aber um menschliche Schwächen, die einen Rechner unsicher machen: fehlerhaft eingestellte Zugriffsrechte für Dateien, Benutzeraccounts ohne Paßwort, Verwendung von unsicheren Programmen und ähnliches. Vielfach führt auch mangelnde Aufklärung der Nutzer über die Gefahren zu Unsicherheiten im System.

1.4 Lokale Sicherheit

Im folgenden geht es um die Netzwerksicherheit. Darüber sollte man die Sicherheit der lokalen Rechner aber nicht vergessen. Lokale Angriffe können erfolgen durch falsche Zugriffsrechte auf Dateien (schreiben von KOnfigurationsdateien, Binaries), ungenügende Überpr�fung von Eingabeargumenten f�r Programme, schlechter Programmierstil (Format String Attacks, Buffer Overflows) - ähnliche Gefahren wie diejenigen, die über das Netz drohen. Die Sicherheit eines Rechners kann auf verschiedene Arten beeinträchtigt werden:

Datenmanipulation/Datenvernichtung
Zumindest teilweise kann Abhilfe geschaffen werden, indem Zugriffsrechte sorgfältig gesetzt und überprüft werden. Darüberhinaus ist ein Backup-Konzept erforderlich.
Unberechtigtes Benutzen von Ressourcen
Plattenplatz, Speicherpaltz und Rechenzeit gegebenenfalls kontingetieren (quota).
Unberechtigtes Erlangen besonderer Zugriffsrechte
Auch hier müssen Zugriffsrechte richtig gesetzt und überprüft werden. Außerdem spielen Programmierfehler eine Rolle. Durch zu lange Eingaben in Programmen, die nicht abgefangen werden, können Speicherbereiche überschrieben ("Buffer Overflow") und beliebiger Code ausgeführt werden. Puffer mit fester Größe (wie in C/C++ üblich) werden mit mehr Daten beschrieben als sie aufnehmen k�nnen. Bei falschen/fehlender L�ngenprüfung werden dabei auch Daten überschrieben, die dahinter liegen, üblicherweise lokale Variablen und vor allem die Rücksprungadresse aus der Funktion.
Sniffing
Mitlesen von Daten und Nachrichten sowohl auf Netzwerk- als auch auf Terminal- und Modem-Leitungen, zum Ausspionieren von Zugangsdaten (Login, Passwort, ...).
Social Engineering Nicht-technischer Angriff, bei dem versucht wird, Zugangsdaten durch Tricks (vorspielen falscher Identit�t, ...) zu entlocken.

Viele dieser lokalen Angriffe werden wir auch im Netz wiederfinden.