Sicherheit in netzgestützten Informationssystemen

Ein Sicherheitskonzept beinhaltet Grundlagen, Aussagen zur Ist-Situation und Maßnahmen zur Erhaltung und Verbesserung des Sicherheitsniveaus in einem definierten Bereich der Informationsverarbeitung. Konzepte zeigen wesentliche Gefahren bzw. Risiken auf und definieren Maßnahmen zur Erhaltung bzw. Verbesserung des aktuellen Sicherheitsniveaus.

Bundesbehörden in Deutschland wird empfohlen, Sicherheitskonzepte anhand des IT-Sicherheitshandbuchs des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu erstellen; in zunehmendem Maße interessieren sich auch andere Behörden und Unternehmen für das Handbuch. Das IT-Sicherheitshandbuch enthält ein komplexes Verfahren zur Durchführung von Risikoanalysen, zur Auswahl von Sicherungsmaßnahmen und zur Erstellung von Sicherheitskonzepten. Das Verfahren enthält viele hilfreiche Anregungen und Hinweise, jedoch ist erhebliche Einarbeitungszeit erforderlich, um das Handbuch sinnvoll anwenden zu können. Auch Anwender haben zudem festgestellt, daß das Handbuch auslegungs- und verbesserungsbedürftig ist.

Ein Sicherheitskonzept ist ein Entwurf zur Verbesserung der Sicherheit der Informationsverarbeitung in einer Organisation. Es gibt zwei grundsätzlich verschiedene Ansätze zur Erstellung solcher Konzepte.

Im Rahmen einer Risikoanalyse wird zunächst das aktuelle Sicherheitsniveau bestimmt, indem bereits realisierte Sicherungsmaßnahmen und noch bestehende Risiken untersucht werden. Besondere Beachtung wird dann den Ursachen und Konsequenzen möglicher gefährdender Ereignisse geschenkt, um Aussagen über Eintrittswahrscheinlichkeiten und Schadenspotentiale abzuleiten. In Abhängigkeit von den Ergebnissen werden Sicherungsmaßnahmen bestimmt. Die Durchführung von Risikoanalysen führt zu maßgeschneiderten Sicherungslösungen, ist aber aufwendig.

Ein alternativer Ansatz zur Erstellung von Sicherheitskonzepten ist die Verwendung sogenannter ‘baseline security measures’. Dabei werden bestimmte Sicherungsmaßnahmen ausgewählt und für eine Vielzahl von Systemen realisiert, ohne zu prüfen, ob diese Sicherungsmaßnahmen in jedem Einzelfall notwendig, angemessen oder sinnvoll sind. Diese Vorgehensweise ist weniger aufwendig als die Risikoanalyse. Allerdings bleibt meist unklar, ob die ausgewählten Maßnahmen angemessen sind.

Die Anwendung von Risikoanalysen in allen Bereichen der Organisation ist in der Regel zu aufwendig. Die ausschließliche Realisierung von ‘baselines‘ kann zu unangemessenen Sicherheitskonzepten führen. In der Praxis sollte deshalb eine Kombination aus beiden Ansätzen verfolgt werden.

Das Leistungsmerkmal Sicherheit bei Informationssystemen trat bisher in der Weit der Arbeitsplatzrechner weit hinter den Merkmalen der Funktionalität und Performance zurück. Die Systeme mußten laufen, und das schnell und preiswert. Leistungsfähige billige Komponenten zu einem Rechnemetz zu integrieren, wurde vorwiegend unter dem Aspekt der technischen Machbarkeit betrieben. Ob sie auch im Hinblick auf Informationssicherheit tauglich waren, interessierte in der Vergangenheit nur in den seltensten Fällen. Allerdings ist in der jüngsten Zeit eine Trendwende zu beobachten. Bei neu zu konzipierenden Systeme ist eine Sicherheitsarchitektur wichtiger Bestandteil des Systementwurfs; bestehende Systeme werden nachträglich mit Sicherheitsmechanismen ausgestattet und ergänzt.

Der Vortrag behandelt die Probleme des Zugriffsschutzes unter Berücksichtigung der besonderen Anforderungen, die offene Systeme an ein Zugriffsschutzsystem stellen. Hierbei handelt es sich generell um die Gewährleistung der Vertraulichkeit, der Verfügbarkeit und der Integrität von Informationen. Offene Systeme erfordern zusätzlich noch die Möglichkeit weitere Ergänzungen des Systems, welche äußerst unterschiedlich sein können, zu integrieren. Dies kann nur durch ein flexibles, systemweites Zugriffsschutzsystem auf der Softwareebene erreicht werden. Im Anschluß an diese theoretischen Anforderungen wird ein Modell vorgestellt, welches diese Anforderungen befriedigt. Grundgedanke ist hierbei die Orientierung an den in der Realität existierenden Situationen in Organisationen. Es wird aufgezeigt, wie Identifikation, Authentifikation und Autorisation realisiert werden können und ein effektiver Zugriffsschutz entsteht. Den Abschluß bildet die Vorstellung eines Produktes, welches das dargestellte Modell realisiert und eine Beschreibung der dazugehörigen Erfahrungen aus Anwenderprojekten.

Informationssicherheit ist ein entscheidendes Kriterium für die Akzeptanz dezentralisierter und vernetzter Datenverarbeitung. Gesetzlich ist Informationssicherheit durch das Bundesdatenschutzgesetz (BDSG) geregelt (1.1). Vertraglich wird Informationssicherheit in Unternehmen durch Betriebsvereinbarungen bestimmt (1.2).

VSE ist ein erster umfassender Versuch, auf Basis eines kommerziell verfügbaren CASE-Werkzeuges — EPOS2000 — einen Werkzeugkasten zu schaffen, der alle Abläufe einer Entwicklung von der Spezifikation über die Programmgenerierung bis zur Programmverifikation und Dokumentation abdeckt Außerdem werden die verschiedenen Rollen der an einer Entwicklung beteiligten Institutionen und Personen durch VSE berücksichtigt. Durch VSE werden sowohl viele bekannte semiformule Methoden (SADT, Hood, …), wie auch formale Methoden (SL) für den Entwurfsprozeß bereitgestellt, wobei der Übergang von der formalen Darstellung auf eine semiformale Darstellung automatisch erfolgen kann. VSE berücksichtigt viele neue Aspekte des Software-Engineerings und ist für neue Methoden und für Anschlüsse anderer Werkzeuge offen.

Netzwerk-Management heterogener Unternehmensnetze hat sich zu einem zunehmend brisanten Thema entwickelt. Viele große und mittlere Unternehmen sind auf der Suche nach einem Management-Tool, das plattformartig möglichst viele bis alle Komponenten des Multivendor-Netzes verwalten kann. Auch unter der Prämisse, daß SNMP der einzige heute verfügbare offene Standard ist, bleiben eine Reihe von Fragen hinsichtlich Funktionalität und Einsetzbarkeit eines Plattform-Systems zum integrierten Netzwerkmanagement offen. Der nachfolgende Beitrag soll Probleme und Möglichkeiten anhand zentraler Anforderungen an NMS und anhand ausgewählter Produktbeispiele für existierende Plattform-Systeme verdeutlichen.

Beginnend mit Mitte der 80-ziger Jahre und verstärkt in den letzten Jahren haben verschiedene — meist staatliche — Institutionen Sicherheitskriterien erstellt und veröffentlicht, u.a. das bekannte Orange Book (Trusted Computer Security Evaluation Criteria: TCSEC) des DoD der USA oder die “grünen” Bücher in Deutschland durch die Zentralstelle für Sicherheit in der Informationstechnik (ZSI), dem Vorläufer des heutige zuständigen Bundesamt für Sicherheit in der Informationstechnik (BSI).

Multilevel relational databases store information at different security classifications. An inference problem exists if it is possible for a user with a low clearance to draw conclusions about information at higher classifications. We are developing a new tool, called DISSECT, for analyzing multilevel relational database schemas to assist in the detection and elimination of inference problems. This tool would be used interactively by a data designer to analyze a candidate database schema for potential inference problems. DISSECT creates a graphical representation of the multilevel database schema and of discovered potential inference channels in the database. Inferences can be blocked by upgrading the classification of some of the foreign key relationships. DISSECT will then discover any new inference problems that may have been introduced by the repair of previously-detected problems.

In einer Weit, in der verteilte Anwendungen Daten oder Ergebnisse von Prozeduren verschiedener Rechner nutzen, ist der Schutz vor unberechtigtem Zugriff auf Daten und Programme besonders wichtig, da ja gerade der intensive Austausch von Informationen zwischen verschiedenen Rechnern Sinn und Zweck verteilter Systeme ist. Der Einsatz von heterogenen Rechnerkomponenten, bei deren Auswahl in erster Linie einfache Integrierbarkeit in vorhandene Strukturen bei niedrigen Systemkosten im Vordergrund stehen, gestalten den Informationschutz schwierig. Oft kommt noch hinzu, daß bei der Konzeption von Client-Server Applikationen nicht an den Informationsschutz gedacht wird aber dieser nachträglich um so stärker gefragt ist. Die nachfolgende Arbeit möchte in einem konkreten Umfeld die Probleme aufzeigen, die bezüglich Informationsschutz in einem verteilten System auftreten und Lösungsmöglichkeiten mit ihren Realisierungen aufzeigen.

Die Dresdner Bank AG befaßt sich seit 1991 ernsthaft mit den Sicherheitsrisiken im Zusammenhang mit dem Einsatz von Personal Computern (PC), nachdem in den Jahren zuvor bereits punktuell auf als besonders kritisch eingestuften PC’s Sicherheitssoftware installiert worden war.

NOVELL-NetWare bietet als Netzwerkbetriebssystem bereits eine Reihe von Sicherheitsfunktionen. Diese Funktionen schützen jedoch ‘nur’ den Server und die darauf gespeicherten Informationen, nicht aber die angeschlossenen Rechner. Zu deren Schutz existiert eine Vielzahl von Produkten, die BIFOA bereits im Rahmen eines Projektes im Auftrag des BSI (Bundesamt für Sicherheit in der Informationstechnik) erfaßt, beschrieben und getestet hat. Diese Studie hat sich jedoch auf die Sicherung von stand-alone-PC’s beschränkt. Zunehmend werden hingegen Produkte angeboten, die speziell für den Einsatz in LAN — und hier insbesondere unter dem Betriebssystem NOVELL-NetWare — entwickelt wurden.

Daher erstellt BIFOA eine Studie mit dem Titel ‘LAN-Sicherheit — Integration von DOS-SECUWARE in das Sicherheitskonzept von NOVELL-NetWare’. Es wird eine Marktstudie durchgeführt, die relevante Produkte erhebt, nach einem einheitlichen Beschreibungsraster hinsichtlich ihrer Funktionalität beschreibt und einem Test unterzieht. Die Veröffentlichung der Ergebnisse ist vorgesehen.

Der Vortrag stellt zentrale Ergebnisse der Studie vor: Nach einer Betrachtung der Gefahren, die die Informationssicherheit in PC-Netzen gefährden, werden grundlegende organisatorische Maßnahmen genannt. Anschließend werden die Sicherheitsfunktionen von NetWare v3.11 sowie ergänzende Funktionen von NetWare v4.0 kurz skizziert. Es wird gezeigt, in welchen Bereichen die vorhandenen Sicherheitsfunktionen durch Produkte von Drittanbietern ergänzt werden können und sollten. Nach einer Übersicht über die Vorgehensweise bei der Studie werden im folgenden die Sicherheitsfunktionen der Add-on-Produkte näher beschrieben. Abschließend wird auf die für einen erfolgreichen Technikeinsatz unverzichtbaren begleitenden organisatorischen Maßnahmen eingegangen. Der Anhang zeigt eine Übersicht der erfaßten Produkte mit ausgewählten Funktionen.

Der Einsatz von UNIX-Netzen im privaten und im öffentlichen Bereich setzt sich in zunehmendem Maße durch. In diesem Beitrag wird dargestellt, welche prinzipiellen Bedrohungen auf UNIX-Netze wirken und welche Sicherheitskonzepte zum Schutz vor potentiellen Angriffen verwendet werden können. Dabei wird speziell auf die Verschiedenartigkeit der einzelnen Konzepte eingegangen.

Das klassische Sicherheitsmanagement bei einzelnen Mehrbenutzersystemen und bei geschlossenen homogenen Netzwerken konzentrierte sich darauf, die bedrohten Werte (Hardware, Software, Daten) zu identifizieren, die Bedrohungen und ihre Auswirkungen zu ermitteln, die Eintretenswahrscheinlichkeit von Sicherheit bedrohenden Ereignissen und die damit verbundenen Kosten zu schätzen und schliesslich adäquate Sicherheitsmassnahmen mit einem bestmöglichen Kosten-/Nutzenverhältnis zu realisieren.

Für den Betrieb von offenen verteilten Systemen als Cluster steht nun aber mehr als eine Softwareumgebung zur Verfügung, und der Wechsel von einer NIS/NFS- zu einer OSF/DCE-Architektur ist z.B. zu weitreichend und vielschichtig, als dass die zu lösenden Sicherheitsprobleme allein mit traditionellen Konzepten und einzelnen Kosten-/Nutzengrössen beurteilt werden können. Bevor einzelne Sicherheits-massnahmen diskutiert werden können, müssen deshalb die grundsätzlichen Auswirkungen der gewählten Umgebung auf die Sicherheit des Gesamtsystems analysiert werden. Ausgehend von einer Fallstudie wird in den folgenden Ausführungen der Frage nachgegangen, ob sich die Umstellung auf eine OSF/DCE-Umgebung allein aus Gründen der Sicherheit lohnt. Die Aussagen stützen sich dabei auf die eigenen Erfahrungen ab, welche zur Zeit bei uns beim Übergang von einer zentralisierten Grossrechnerumgebung auf ein “Distributed Computing Environment” gemacht werden.

Die Sicherheit von PCs gewinnt heute überall zunehmend an strategischer Bedeutung. Im Gerling-Konzern werden unter diesen Sicherheitsaspekten nicht nur isolierte Einzelkomponenten wie Datenschutz oder Virenproblematik verstanden, sondern vielmehr die Gesamtheit aller einzelnen Facetten, die erforderlich sind, um einen PC sicher zu machen.

Durch den derzeit anstehenden flächendeckenden Einsatz von Laptops zur Unterstützung des Außendienstes gewinnen diese Fragen eine zunehmend weiter gestiegene Bedeutung.

Im europäischen und internationalen Kommunikationsverkehr spielen Datenschutz und Datensicherung als technisches Mittel zur Durchsetzung des Datenschutzes eine für weltweit agierende Unternehmen entscheidende Rolle. Die geplanten Bestimmungen der derzeit im Europäischen Parlament diskutierten Datenschutz-Richtlinie — wegen ihrer Aussagen zum Drittlandsverkehr auch weltweit von Bedeutung — sollen letztlich dem Schutz gerade derjenigen Bürger dienen, deren privater wie beruflicher Bewegungsraum erhöhten Verleztlichkeiten ausgesetzt ist. Dem werden andererseits andere gemeinschaftsrechtliche Vorschriften gegenüberstehen, die eine wirksame Strafverfolgung auch im Umfeld transeuropäischer Kommunikationsnetze gewährleisten.

Der hier dringend gebotene Interessensausgleich setzt eine Bestandsaufnahme aller sicherheitsrelevanter europäischer und internationaler Aktivitäten voraus. Der Vortrag versucht diese Momentaufnahme der einschlägigen Aktivitäten im Bereich der Standardisierung und einiger nationaler Rechtsentwicklungen (z.B. Frankreich, USA) vor dem Hintergrund einer zunehmend multimedial vernetzten Welt.

Am Fallbeispiel des paneuropäischen Mobilkommunikationssystems GSM können sowohl die technische Entwicklung eines hochgradig komplexen Systems als auch die besondere Exportproblematik und das “Interworking” der beteiligten Netzbetreiber aufgezeigt werden. Diese Probleme wurden letztlich auf der Grundlage von bilateralen Vereinbarungen (COCOM und GSM-MoU-Regelungen) gelöst.

Jedoch besteht ein dringender Regelungsbedarf bei Entwicklung und Nutzung von Sicherheitstechnik zumindest für Europa, da technische Weiterentwicklungen und ihre Umsetzungen in Telekommunikationsdienstleistungen nur durch ein abgestimmtes Regelwerk zum Erfolg geführt werden können.