Verläßliche Informationssysteme

Die Frage nach der Funktion der Fachleute in unserer hochtechnisierten Welt und nach der Verantwortung, die ihnen aufgrund ihrer Stellung zukommt, soll im folgenden in vier Schritten behandelt werden. Es gilt erstens, den Verantwortungsbegriff zu präzisieren und die allgemeinen Voraussetzungen namhaft zu machen, unter denen jemand für einen bestimmten Gang der Dinge verantwortlich ist. Daran anschließend wird zweitens die Rolle und die Aufgabenstellung der Experten in unserer komplexen, arbeitsteiligen Welt untersucht. Ferner ist drittens zu klären, wie sich die individuelle Verantwortung und das kollektive Handeln in übergeordneten gesellschaftlichen Systemzusammenhängen meinander verhalten. Der vierte und letzte Abschnitt behandelt dann die Bedeutung des Vertrauens für das gedeihliche Zusammenleben und das reibungslose Funktionieren der vernetzten Systeme.

Umgangssprachlich kann ein Informationssystem verläßlich genannt werden, wenn es gerechtfertigt ist, sich auf seine Dienste zu verlassen. Will man Verläßlichkeit genauer fassen, unterscheidet man verschiedene Teilaspekte, wie z.B. Funktionsfähigkeit, Sicherheit im Sinne von Safety und Sicherheit im Sinne von Security. Während es bei Safety eher um die Vermeidung von Unfällen geht, die durch fehlerhafte Informationssysteme verursacht werden, geht es bei Security mehr um Schäden, die durch intelligente Angreifer verursacht werden.

Der Informatiker versteht sich — so erscheint es zumindest dem Juristen — als freischaffender Künstler, der sich seine eigene Welt formt. Sie hat aus seiner Sicht den Vorrang vor den Normen, die das Recht an ihn heranträgt.

Die Beratung von IT-Anwendern in Fragen der Sicherheit in der Informationstechnik ist eine zentrale Aufgabe des Bundesamtes, die aufgrund der zunehmenden Bedeutung der IT-Sicherheit in der Bundesverwaltung eine immer größere Rolle spielt. Da der Beratungsansatz aufgabenorientiert zu sehen ist, sind alle Sicherheitsaspekte bei Anwendung der IT — also einschließlich die der Umfeldsicherheit — zu berücksichtigen.

Informationssysteme werden in Zukunft modular aus Einzelkomponenten aufgebaut sein, die jeweils Client- oder Serverfunktionen erfüllen und die entsprechend dem Client-Server-Modell kooperieren. Um zu sicheren Informationssystemen zu gelangen, ist es notwendig Sicherheitskomponenten in die Systemstruktur einzubringen. Es wird daher vorgeschlagen, das Client-Server-Modell auf ein Client-Control-Server-Modell zu erweitern. Für dieses Client-Control-Server-Modell wird die Anwendung regelbasierter Zugriffskontrolle (Mandatory Access Control) in einem Informationssystem diskutiert. Als Sicherheitsmechanismen werden Informationsflußkontrolle und Zugriffskontrollisten eingesetzt. Es wird erläutert an welcher Stelle des Systems diese Sicherheitsmechanismen angesiedelt sind und wie sie zusammenwirken.

Die Basisbestandteile eines Rechtesystems für Zugriffskontrolle sind Subjekte, Granule und Aktionen, die festlegen, wer was bei wem (nicht) tun darf. In unserem Ansatz können diese Bestandteile in Klassen gruppiert werden; die Klassen wiederum in Hierarchien geordnet werden. Ein Recht kann dann für ein Objekt oder für alle Objekte einer Klasse gewährt werden. Wir unterscheiden dabei explizit zwischen Erlaubnissen und Verboten. Wir beschreiben (auch mehrstufige) Ausnahmen mit Hilfe expliziter Prioritäten. Zur Einschränkung des Gültigkeitsbereichs von Prioritäten unterteilen wir diese in einen statischen Anteil und einen lokal definierbaren Anteil. Die statischen Anteile der Prioritäten sind partiell geordnet. Wir zeigen beispielhaft, wie diese neuen Prioritäten Probleme der Verteilung lösen und zu einem strukturierterem Entwurf beitragen können.

Informationssysteme als Abbildung eines Realitätsausschnittes sollen auch die Semantik von Informationsbeziehungen widerspiegeln. In diesem Artikel wird eine Modellierungsmethode eingeführt, die Rollen aufgrund der verschiedenen Stellung der Nutzer zu der zu modellierenden Miniwelt unterscheidet. Abhängig vom Kompetenz- und vom Verantwortungsbereich, die sich aus den Aufgaben und Zielen der Nutzer ergeben, werden den Rollen Verhaltensnormen (Rechte und Pflichten), die die Semantik der Informationsbeziehungen enthalten, zugewiesen. Deren Einhaltung bei der Arbeit mit dem Informationssystem wird durch die Zugriffskontrollkomponente geprüft.

Das Gleichgewichtsmodell ist ein Sicherheitsmodell zur Beschreibung verbindlicher kooperativer Handlungen auf der Basis nicht-abstreitbarer Beweise. Die Kooperation wird über offenen kommunikationstechnischen Systemen modelliert, für welche es keine zentrale Kontrolle gibt und in denen daher auch keine globalen Sicherheits-Mechanismen existieren, die die Sicherheits-Anfordenmg nach Erfüllung von Verpflichtungen einfach durchsetzen könnten. Das Modell definiert Verpflichtungszustände und beschreibt sie mithilfe obligationslogischer Verpflichtungsausdrücke. Es wird ein Sicherheits-Kriterium beschrieben, das für jede Veränderung eines Verpflichtungszustandes einen Beweis über diese Veränderung für die betroffenen Kooperationspartner verlangt: Verpflichtungen und ihre Beweise halten ein “Gleichgewicht”, daher der Name. Das Gleichgewichtsmodell ist seinerseits in ein allgemeineres Telekooperationsmodell von Personen, Rollen und Akteuren eingebettet.

Das Beispiel, auf das das Modell angewendet wird, ist ein Bestellvorgang zwischen drei Akteuren einer Organisation: einer Fachabteilung, die Sachmittel oder Dienstleistungen für ihre Arbeit bestellt; der Verwaltung, die diese Bestellung prüft und an den Einkauf weiterleitet oder an die Geschäftsleitung übergibt; und der Geschäftsleitung, die Entscheidungskonflikte zwischen Fachabteilung und Verwaltung auflöst. Mit den Mitteln des Sicherheitsmodells werden die Verpflichtungsstrukturen formuliert, so daß man von ihnen unmittelbar ablesen kann, welche Ereignisabfolgen sie erzwingen. Dabei werden Konfliktpunkte identifiziert, und es wird gezeigt, wie die Akteure dort ihre Konflikte lösen können. Dieses Beispiel stellt zwar eine geschlossene Organisationsumgebung dar. Durch die Anwendung einer offenen Kooperationstechnik kann es aber die Gestaltung des Vier-Augen-Prinzips doppelter, konkurrierender Kontrolle demonstrieren.

Diese Arbeit besteht aus zwei wohlunterscheidbaren Teilen: Kapitel 1 enthält eine Beschreibung des abstrakten Gleichgewichtsmodells, und in Kapitel 2 wird das Modell auf ein konkretes Beispiel angewendet.

Wir schlagen einen Ansatz zur Modellierung von Delegation in Informationssystemen vor. Dazu wird zunächst die organisationstheoretische Sicht von Delegation dargestellt, diese in ein abstraktes Protokoll für Delegation umgesetzt und dieses schließlich auf die Ebene des Informationssystems DORIS übersetzt. Anschließend folgt eine Beschreibung von Sicherheitsanforderungen für Delegation.

Mit steigendem Einsatz von Mikroprozessoren haben sich diese immer mehr auch in sicherheitsrelevanten Gebieten durchgesetzt. Die für solche Einsatzgebiete geforderte hohe Zuverlässigkeit und Sicherheit (im Sinne von engl. safety) kann durch Fehlertoleranzverfahren erreicht werden. Eine Möglichkeit hierzu bietet der Einsatz von Diversität, bei der mehrere Programme erstellt werden, welche die gleiche Spezifikation erfüllen sollen. Dabei ermöglicht ein Vergleich der von einzelnen Programmvarianten berechneten Ergebnisse neben der Entwurfsfehlererkennung auch eine Erkennung permanenter und transienter Hardwarefehler. Entwurfsdiversität alleine garantiert aber keine unterschiedliche Nutzung der Hardware, so daß virtuelle Mehrfachsysteme mit entwurfsdiversitären Programmvarianten nur eine unzureichende Hardwarefehlererkennung aufweisen. Durch den Einsatz von systematisch erzeugter Diversität kann die Hardwarefehlererfassung verbessert werden, da systematisch erzeugte Diversität eine automatische Veränderung des Programmablaufs unter Beibehaltung des implementierten Algorithmus ermöglicht, so daß die Ergebnisse gezielt auf verschiedenen Datenpfaden berechnet werden. Es wurde ein Verfahren zur systematischen Generierung von diversitären Programmvarianten entwickelt, das auf einer diversitären Darstellung der Daten beruht. Zur Realisierung dieses Verfahrens wurde auf der Basis einer komplementären Datenrepräsentation ein Precompiler auf Assemblerebene entwickelt.

Ausgehend von einer IEC-Initiative zur Standardisierung höherer Programmiersprachen für speicherprogrammierbare Steuerungen wird ein herstellerunabhängiges Werkzeug zur graphischen Software-Entwicklung und zum schnellen Prototyping in industriellen Automatisierungsprojekten vorgestellt. Die Konstruktion der Programme erfolgt durch die Verknüpfung von Funktionsblockinstanzen, die aus einer Bibliothek bezogen werden und deren Korrektheit bewiesen ist. Es werden Methoden und Werkzeuge beschrieben, die, zur Ergänzung konventioneller Programmtestverfahren, die Verifikation dieser zusammengesetzten Entwürfe mit mathematischer Strenge erlauben.

Das Neue und Außergewöhnliche an diesem Werkzeug gegenüber klassischen CASE-Werkzeugen ist die Möglichkeit, über formale Spezifikations- und Verifikationsmethodiken, die Korrektheit ganzer Software-Systeme oder Teilen davon formal nachzuweisen.

Die Veröffentlichung und Anwendung von Kriterienkatalogen zur Bewertung der Sicherheit von Produkten und Systemen der Informationstechnik hat dazu geführt, daß Hersteller heute der Sicherheit ihrer Produkte eine strategische Bedeutung beimessen. Der folgende Beitrag beschreibt die Evaluation des Großrechner-Betriebssystems BS2000^® Version 10 aus Herstellersicht und gibt die dabei gemachten Erfahrungen wieder.

Die Anwendung eines Kriterienkataloges zur Beurteilung der Sicherheit auch auf ein umfangreiches und komplexes System ist möglich. Die Erfahrungen, die bei der Evaluation des Betriebssystems BS2000^®’ Version 10 auf der Basis der IT-Sicherheitskriterien [1] gewonnen wurden, könnten sich als typisch für umfangreiche und komplexe IT-Systeme erweisen. Die dort erkannten Probleme dürften überdies auch für Nachfolgekriterien wie den ITSEC gelten. Neben Fragen der Anwendbarkeit der Kriterien und der Interpretation wichtiger Begriffe wird insbesondere die enorme Bedeutung der Qualitätssicherung in Hinsicht auf den Evaluationsprozeß als solchen hervorgehoben.

Es wird aufgezeigt, daß es zwei Arten von Sicherheitsanforderungen, nämlich eigenschaftsorientierte und maßnahmenorientierte Sicherheitsanforderungen gibt. Weiterhin wird erläutert, wie man zu Sicherheitsanforderungen mit Hilfe der Elementaroperationen der Manipulation die entsprechenden Sicherheitsmaßnahmen ermitteln kann.

Sicherheit von IT-Systemen ist ein Schlagwort, hinter dem sich häufig sehr verschiedene Vorstellungen verbergen. Wir entwickeln eine Begrifflichkeit, die die Kontextabhängigkeit des Redens über Sicherheit betont: nur auf dem Hintergrund von offengelegten Zwecken und Werten kann sinnvoll von Sicherheit gesprochen werden; nur bezüglich einer Spezifikation von zu leistenden Diensten und bezüglich Beschreibungen von Herausforderungen sind Aussagen über die Sicherheit eines IT-Systems wirklich sinnvoll. Unser Definitionsversuch zeigt ferner die Zweigesichtigkeit von Sicherheit auf: einerseits soll das Geforderte tatsächlich geschehen, andererseits soll im wesentlichen sonst nichts, mindestens aber nichts ausdrücklich Verbotenes geschehen. Die üblichen Sicherheitsanforderungen der Vertraulichkeit, Integrität und Verfügbarkeit sowie weitergehende Forderungen der Authentizität, Anonymität, Anerkennung und Rollentrennung werden beispielhaft in den Rahmen unserer Begrifflichkeit eingeordnet.

Der Einsatz von Personal Computern und Workstations und die Vernetzung mit traditionellen Mainframe-Umgebungen nimmt zu. Verteilte, offene Informationssysteme entstehen, die sich aus vielen Komponenten zusammensetzen. Die Abhängigkeiten zwischen den Komponenten sind oft nicht mehr überschaubar. Die Risiken beim Einsatz solcher Systeme steigen. Es ist ein Risikomanagement erforderlich, das der ständigen Weiterentwicklung des Systems gerecht wird. Das Informationssystem sollte on-line beobachtet und gesteuert werden können. Dieser Beitrag stellt die Architektur für ein Risikomanagement-Werkzeug vor, das insbesondere auf die Anbindung an das in Betrieb befindliche System ausgerichtet ist. Es werden die Phasen des Risikomanagements beschrieben und Konzepte zur Modellierung des Informationssystems vorgeschlagen. Grundlegende Einrichtungen für die Beobachtung und Modifikation des Informationssystems werden dargestellt.

In einer Simulationsstudie Rechtspflege wurde untersucht, welchen Beweiswert elektronisch signierte Dokumente haben können. Nach geltendem Recht können sie durch das Gericht nur im Rahmen des Augenscheinbeweises oder durch Sachverständigenbeweis berücksichtigt werden. Daher bleiben Defizite gegenüber der Beweisfunktion von Papier-Urkunden bestehen. Es werden Anforderungen zur Verbesserung des Beweiswertes aufgezeigt. Es ist zu untersuchen, ob und wie ein elektronischer Urkundsbeweis gesetzlich geregelt werden kann.¹

In dieser Arbeit beschäftigen wir uns mit Authentifikationsdiensten, die mit zunehmender Verbreitung offener und verteilter Informationssysteme immer bedeutender werden. Ein Authentifikationsdienst wird dabei in die drei Komponenten Verwaltung, Vorbereitung und Authentifikation zerlegt. Die Aufgaben dieser Komponenten werden mit den zu ihrer Bewältigung verfügbaren Mechanismen erläutert. Als konkrete Beispiele dienen Kerberos, SPX und SELANE.

Wir beabsichtigen, mit dieser Arbeit das für individuelle Anwendung und Entwicklung erforderliche Verständnis dieser Dienste zu fördern.

Bei der Authentifizierung eines Subjekts wird dessen Identität aufgrund ihm unverwechselbar zugeordneter Merkmale nachgewiesen. Die eindeutige Identifizierung von Benutzern und Geräten ist insbesondere für die Sicherheit verteilter Datenverarbeitungssysteme von entscheidender Bedeutung. Dieser Erkenntnis wird nicht zuletzt durch die Entwicklung geeigneter Sicherheitsarchitekturkonzepte Rechnung getragen [B An 89]. Als prominente Beispiele seien das am Massachusetts Institute of Technology entwickelte Kerberos [MNSS 87], [Ko 89], die von der Digital Equipment Corporation vorgestellte Distributed System Security Architecture (DSSA) [TaAl 91], sowie das europäische Projekt SESAME [Pa 91] genannt.

Ein Verfahren zum authentischen Booten und ein darauf aufbauender Software-Integritätstest sind insbesondere bei PCs aufgrund der Virenproblematik besonders wichtig. Der vorliegende Artikel stellt ein Verfahren vor, welches ohne nennenswerte Komforteinbußen für den Benutzer die Integrität des Systems beim Booten überprüft. Als authentische, durch Software nicht manipulierbare Basiskomponente für das authentische Booten dient der in jedem PC vorhandene Ein-Chip-Microcontroller UPI. Dieser wird benutzt, um einen geheimen Schlüssel aufzunehmen und vor unautorisiertem Zugriff zu verbergen. Die Realisierbarkeit des Verfahrens wurde im Rahmen einer prototypischen Implementierung gezeigt.

Mit der Veröffentlichung des Entwurfs fir einen “Digital Signature Standard” (DSS) durch NIST im Herbst 1991 wurde erstmalig für ein kryptographisches Verfahren zur Erzeugung elektronischer Unterschriften eine Standardisierung eingeleitet. Nach einer Erläuterung des DSS-Signier- und Testalgorithmus’ werden effiziente Algorithmen für eine Software-Implementierung der im DSS-Verfahren benötigten modularen Langzahl-Exponentiation betrachtet. Es folgen Vorschläge Ihr eine schnelle Version der DSS-Algorithmen mit Vorausberechnungen. Aufwandsabschätzungen und Messungen einer Implementierung für 80×86-Mikroprozessoren des DSS- und des RSA-Verfahrens werden verglichen. Die Darstellung schließt mit Betrachtungen zur Sicherheit des DSS-Verfahrens auf der Grundlage der aktuellen Diskussion.

Betrachtet man rekonfigurierbare Verbindungsnetzwerke als Permutationsnetzwerke, so lassen sich damit auf kanonische Weise Permutations- und Substitutionschiffren darstellen. Große Verbindungsnetzwerke könnten so konfiguriert werden, daß eine Kryptoanalyse praktisch unmöglich ist. Wegen der großen Anzahl erforderlicher Tauscher ist allerdings eine technische Realisierung de facto unmöglich. Kleine Verbindungsnetzwerke dagegen sind hardwaremäßig einfach zu verwirklichen, ergeben aber leicht zu brechende Kryptosysteme. Ein Ausweg aus diesem Dilemma könnte sich durch die im Projekt SINC (SINC: Selfmodifying Interconnection Network based Cryptosystem) entwickelten selbstmodifizierenden Verbindungsnetzwerke ergeben. Am Beispiel selbstmodifizierender Benes-Netzwerke wird das neuartige Konzept zur Realisierung kryptographischer Basisfunktion vorgestellt. Es wird gezeigt, wie sich SINCs als universelle kryptographische Bausteine zur Verschlüsselung, als Pseudozufallsgenerator und als Grundfunktion für kryptographische Hashfunktionen einsetzen lassen. Anhand des als VLSI-Baustein realisierten Prototypen werden Anwendungsbeispiele erläutert. Außerdem wird auf Schwächen hingewiesen, die sich durch spezielle Selbstmodifikationen ergeben können.

Der Artikel stellt Datenbankmanagementsysteme (DBMSe) mit Zielrichtung der Realisierung eines hohen Informationsschutzes vor. Die einzelnen Systeme beinhalten benutzerbestimmbare Zugriffskontrolle, regelbasierende Zugriffskontrolle oder unterstützen das Privacy-Modell. Es wird kurz auf die theoretischen Voraussetzungen für vertrauenswürdige DBMSe eingegangen bevor SeaView, LDV, ASD_Views, Trudata, Sword und DORIS hinsichtlich logischem Datenmodell, Sicherheitspolitik und Systemarchitektur betrachtet werden.

Am Beispiel des ISO-Schichtenmodells und der Protokollfamilie TCP/IP wird die Modularisierung von Netzwerksystemen vorgestellt. Ausgehend von typischen Angriffen wird die Unterteilung von kleinen Netzwerken motiviert und ein Verfahren beschrieben, mit dem ein kleines begrenztes Netzwerk mit einem minimalen Verlust an Funktionalität und Performance gegen Angriffe aus einem angeschlossenen weltweiten Netz geschützt werden kann.