Sicherung der Information ab der Datendarstellungsschicht

Kommentieren Drucken
Teil 53 von 71 aus der Serie "Professionelle Datenkommunikation"
Alle Artikel der Serie "Professionelle Datenkommunikation":

Auf der Datendarstellungsschicht kann man mit den üblichen Maßnahmen, wie komplizierte Verbindungsaufbauphase und schwierig zu fälschende Passwörter, Schutz generell flankieren. Als die die Darstellung von Daten hauptsächlich betreffende Schicht ist die Schicht 6 jedoch primär die Stelle für die Anwendung von Verschlüsselungsverfahren. Die Information, die die Schicht sechs verlässt, ist transparent für die anderen Schichten und wird von diesen nicht mehr weiter verändert, selbst wenn noch Kontrollinformation hinzugefügt wird.

Kryptographische Systeme arbeiten üblicherweise nach folgendem Modell:

  • Berechtigte Subjekte sind Sender und Empfänger eines Nachrichtentransportsystems. Nachrichten werden von einem Sender über einen Nachrichtenkanal an einen Empfänger übertragen.
  • Grundlage für die Interpretation von Nachrichten sind Nachrichten im Klartext. Ein Subjekt, das Nachrichten im Klartext kennt, kennt die den Nachrichten zugeordnete Information. Nachrichten können von Klartext in Kryptotext codiert und von Kryptotext in Klartext decodiert werden. Über den Nachrichtenkanal werden Kryptotexte übertragen.
  • Sender und Empfänger zeichnen sich als berechtigte Benutzer dadurch aus, dass sie Klartext in Kryptotext codieren und Kryptotext in Klartext decodieren können. Ein Sender erzeugt Nachrichten in Klartext und codiert diese in Kryptotext. Er sendet Kryptotext an den Empfänger. Der Empfänger empfängt Nachrichten im Kryptotext und decodiert diese in Klartext.
  • Nichtberechtigte Subjekte sind Code-Brecher. Sie haben wenigstens einen P-Zugriff auf den durch das Rechnernetz implementierten Nachrichtenkanal durchgeführt. Sie versuchen, Nachrichten von Kryptotext in Klartext zu decodieren. Das darf ihnen nicht gelingen!

Die Theorien um Kryptosysteme sind in der Literatur ausführlich beschrieben. Ohne weitergehende mathematische Ausführungen können wir an dieser Stelle nicht mehr näher darauf eingehen. Eines der wichtigsten Verfahren ist der Data Encryption Standard DES.

Ein weiteres Teilproblem, das bei Verwendung kryptographischer Verfahren auftritt, ist die Geheimhaltung der jeweils benutzten Schlüssel. Ein Verfahren hierzu besteht darin, zusätzlich zu dem eigentlichen Nachrichtenkanal einen sicheren Schlüsselkanal zu benutzen; dies dürfte in der Praxis sicherlich in den meisten Fällen unpraktikabel sein. Eine andere Möglichkeit zur Lösung dieses Teilproblems ergibt sich aus der Komplexitätstheorie und beruht auf der Existenz von Einwegfunktionen, also von Funktionen, die mit vertretbarem Aufwand zu berechnen sind, deren Inverse zu berechnen jedoch einen praktisch nicht zu leistenden Aufwand erfordert.

Es gibt in der praktischen Anwendung eine weitere interessante Klasse von kryptographischen Systemen, die eine Art Hintereinanderschaltung von Schlüsseln verwenden, nämlich die so genannte Public Key Systeme oder Systeme mit allbekannten Schlüsseln. Will man ein Nachrichtenübertragungssystem mit dieser Art von Codierung schützen, so muss man darauf achten, dass nicht auch die für einen Code-Brecher unwesentlichen Kontrollinformationen mit verschlüsselt werden, da sie nämlich ggf. durch eine Verschlüsselung für eine Partner-Kontroll-Instanz unleserlich werden.

All dies eignet sich grundsätzlich für die Anwendung in Intranets, aber nicht ohne sinnvollen Plan: die Sicherheitspolitik.

Probleme der Anwendungsschicht

Wie immer sind die Anforderungen an diese Schicht aus der jeweiligen Anwendung heraus zu stellen. Ein Problemkreis vieler Anwendungen ist die Benutzerautorisierung durch eine Art »elektronische Unterschrift«. Hierzu sind verschiedene Verfahren bekannt, die z. B. auf Einwegfunktionen, Public Key-Verfahren oder einer Schachtelung verschiedener Methoden beruhen.

Für das Bankenwesen gibt es eine Reihe von Vorschlägen, die von der eine Codierung berechnende Chipkarte bis zu der Laser- oder IR-Abtastung der Netzhaut reichen. Wichtig ist es auch, neben der Autorisierung selbst zu prüfen, ob die Quelle, aus der die Autorisierungsnachricht kommt, auch zu dem (vermeintlichen) Benutzer gehört. Eine besonders elegante Lösung wurde von der Firma SNI für Bankautomaten entworfen. Hier wird ein hinterlegtes Foto des Kunden mit einem aktuellen Bild, welches eine Kamera aufgenommen hat, verglichen. Bestimmte physiologische Eigenschaften des Gesichtes verändern sich mit der Zeit nicht, auch wenn man einen Bart oder eine Brille bekommen hat. Das System arbeitet mit Fuzzy-Logik.

Andererseits kann jedoch argumentiert werden, dass gerade das Nachvollziehen von Nachrichtenquellen in anderer Hinsicht Sicherheitsrisiken mit sich bringen kann.

Für Datenbanken ist neben Konsistenzfragen natürlich wichtig, dass nicht ganze Datensätze unautorisiert gelesen oder modifiziert werden können. Bei statistischen Datenbanken einer gewissen Größenordnung jedoch ist es möglich, mit großer Wahrscheinlichkeit aus bestehenden an sich offenen Daten Schlüsse zu ziehen, die eigentlich primär geschützte Daten offenlegen.

Aber auch das Netz- und System-Management selbst ist eine kritische Funktionsgruppe. Man kann es jedenfalls nicht hinnehmen, dass die Transaktionen zwischen Management-Plattformen und Management-Agenten in den zu steuernden Geräten völlig ungeschützt erfolgen, wie dies z. B. bei SNMP in seiner verbreiteten Standardversion gang und gäbe ist. Dann kann nämlich, wie bereits ausgeführt, jeder mittels eines einfachen Laptops z. B. die gesamte Netzwerk-Konfiguration durcheinanderbringen und der betroffenen Organisation schweren Schaden zufügen.

Die Sicherheitspolitik

Für ein im Alltag unterschiedlichsten Belastungen ausgesetztes Netz Muss auf operationelle Aspekte Wert gelegt werden. Datenschutz, Datensicherung und Netzwerk-Management sind in der Praxis leider oft getrennt behandelte Stichworte, was zu Beginn von Installationen sicherlich entschuldbar ist, im Grunde genommen aber in die Irre führt und bei Planungen mit größerem zeitlichen Horizont nicht mehr hingenommen werden kann.

Der Autor vertritt seit langem die These, dass durch die immer weitere Ausbreitung von DV auch an Benutzer, die hierfür nur wenig geeignet sind, beim gleichzeitigen Wegfall von Schulungsmöglichkeiten und fast idiotischer Steigerung der Komplexität schlicht einfachster Anwendungs- und Systemprogramme in größeren Organisationen der Effekt inadäquater Systembedienung immer schlimmere Gesamtfolgen für die System- und Netzwerkintegrität und die Gesamt-Funktionsfähigkeit haben wird, wenn man aus der Seite des inneren Betriebs heraus hier nicht gegensteuert. Denn man muss sich darüber im Klaren sein, dass die meisten dieser Entwicklungen nicht mehr rückgängig gemacht werden können. Also muss man versuchen, die Clients samt der durch sie anzurichtenden Schäden immer weiter vom eigentlichen operativen Kern des Netzes und der durch dieses erreichbaren relevanten Komponenten, wie Hosts oder Server, zu entfernen.

In der Vergangenheit haben sich im Zusammenhang mit Betrachtungen über Datenschutz und Datensicherheit in vernetzten Umgebungen folgende Tatsachen herausgestellt:

  • Es gibt Bedrohungen von innen und von außen. Unfähige Benutzer und faule Administratoren sind die schlimmsten inneren Feinde der Informationsintegrität. Auch Viren werden meist von innen eingeschleppt. Bedrohungen von außen ergeben sich durch passive (z. B. Abhören) und aktive (z. B. Zerstörung, Einschmuggeln von Informationen) Angriffe auf Komponenten des Netzes.
  • Man kann sich grundsätzlich nicht gegen alle Risiken schützen.
  • Der Aufwand für Schutz sollte in einem sinnvollen Verhältnis zum Wert der Informationen bzw. der Informationsverarbeitung stehen.
  • Schutzmechanismen können abgestuft werden. Es gibt relativ einfachen Basisschutz, wie Fiber Optic LANs auf der physikalischen oder Zugriffsschutz durch Benutzer-Environments auf der logischen Ebene.
  • Alles (Wesentliche) im Netz kann mittels Objekten und Operationen auf diesen formuliert werden.
  • Auf Basis der Objekte und Operationen kann ein Relationensystem aufgebaut werden, welches die Sicherheitspolitik beschreibt.
  • Die Sicherheitspolitik muss durchgesetzt werden.
  • Ohne Sicherheitspolitik sind Hopfen und Malz verloren, weil unbekannt ist, was warum wogegen zu schützen ist.
  • Die Standard-Schutzmechanismen der gängigen LAN-Software-Pakete sind oft nicht bekannt oder werden aus Bequemlichkeit nicht genutzt.

Der Bedrohung von innen und außen kann man nur mit kombinierten Maßnahmen Herr werden. Der Einsatz dieser Maßnahmen und Hilfsmittel setzt eine genaue Risikoanalyse voraus.

Die Erwähnung der Notwendigkeit der Erstellung einer Sicherheitspolitik versetzt vielfach die Angesprochenen in Erstaunen und Unsicherheit, da sie überhaupt nicht wissen, was damit gemeint sein könnte.

Eine Sicherheitspolitik ist eine Menge von qualifizierten Relationen zwischen Subjekten und Objekten. Sie legt fest, welche Subjekte in welcher Art (durch die Qualifizierung) auf die Objekte zugreifen können.

Eine einmal definierte Sicherheitspolitik Muss durch geeignete Maßnahmen durchgesetzt werden. Sieht man von hochsensitiven Umgebungen wie Fertigung oder Militärische Bereiche ab, so wird sich die Definition einer Sicherheitspolitik natürlich in der Praxis in völliger Umstülpung der Theorie nach den im aktuellen Falle gegebenen oder zu erwartenden Hilfsmitteln richten.

Die Erarbeitung einer Sicherheitspolitik zerfällt in mehrere Phasen, die ggf. überlappend und iterativ verlaufen können:

  • Risikoanalyse,
  • Definition von Sicherheitsstufen und Sicherheitsbereichen,
  • Feinerstellung der Sicherheitsprofile.

Die Risikoanalyse sollte alle Komponenten in Hard- und Software umfassen.

Danach sollte man Sicherheitsbereiche und/oder Sicherheitsstufen definieren. Dies dient einfach in der Praxis dazu, es mit der Sicherheit nicht allzu sehr zu übertreiben. Ein Bereich z. B., in dem laufend Außendienstmitarbeiter herein- und herausströmen und überflüssigerweise ihre Laptops noch ins Netz ein- und wieder ausstecken, kann praktisch nicht sicher gemacht werden. Also muss man diesen Bereich von den anderen, eher sensitiven Bereichen, wie Finanzbuchhaltung und Personalwesen, trennen, z. B. durch Protokoll-Firewalling, was bedeutet, dass Brücken und Router Informationen, die aus diesem Teilnetz kommen, nicht in andere Teilnetze hinein übertragen. Auch bei Bereichen wie FIBU und Personalwesen handelt es sich aber nicht um strategische Atom-U-Boote, so dass man sicherlich mit einem guten, gegebenenfalls abgestuften Basisschutz auskommen wird. Nach einer eingehenden Analyse stellt sich dann heraus, dass es nur wenige Bereiche und Stationen gibt, die als sehr kritisch einzustufen sind. Ein weiteres Ergebnis der Analyse kann übrigens eine Veränderung der Ausstattung mit Netzwerk-Betriebsmitteln sein. So empfehlen sich in sensitiven Bereichen immer redundante Komponenten.

Eine Möglichkeit zur Klassifikation von Sicherheitseinrichtungen und der Abschätzung der Sicherheit von Komponenten und Softwaresystemen bieten natürlich die »bunten Bücher« der entsprechenden, meist militärischen Behörden. In Deutschland ist für so etwas das Bundesamt für Sicherheit in der Informationsverarbeitung BSI zuständig, welche die so genannte »IT-Sicherheitskriterien« herausgibt. Seit es sie gibt, sind derartige Kriterien umstritten, da ihnen die Betrachtung dynamischer Komponenten völlig fehlt und Sicherheit im Wesentlichen als die Sicherheit der »liegenden Daten« definiert ist. Diese liegt aber gerade bei Netzen mit »reisenden Daten« nicht vor, so dass auch dieser Autor der Arbeit des BSI nicht so sehr zugetan ist. Allerdings kann man sich ja ein solches Kriterienheftchen als Diskussionsgrundlage hernehmen. Sollten z. B. hier auftretende wesentliche Begriffe völlig unklar sein, sind Lücken im Verständnis der Sicherheitsproblematik zu stopfen, bevor man fortfahren kann.

Die Definition von Sicherheitsbereichen und Stufen führt letztlich zu einer Auswahl der passenden Instrumente. So wird man Schreibkräfte in niedrigsicheren Bereichen nicht damit behelligen, sich kompliziert einzuloggen und mit kryptischen Texten zu arbeiten.

Die Instrumente wiederum erlauben die Feindefinition z. B. von Benutzerprofilen u.ä.

In der nächsten Folge stellen wir Firewall-Systeme näher vor.

« Teil 52: Schwachstellen der Informationssicherheit in Netzen und Absicherungsmaßnahmen bis zur Schicht 5Teil 54: Firewall-Systeme »


zugeordnete Kategorien: LAN
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.