*Dieter Bülow ist freier Journalist in Obernhain/Taunus.
Heute ist der PC nicht mehr das Zentrum, sondern lediglich der Ausgangspunkt des Problemfeldes "Datensicherheit - Unsicherheit am PC". In der heute typischen Konstellation steht er als Endgerät am Arbeitsplatz. Die Regie des Informationsverkehrs findet auf Servern statt - vom PC-Typ der Intel-Welt über die Midrange-Unix-Maschine bis zum Host von IBM oder DEC. Der alleinstehende, von anderen Computersystemen völlig isolierte PC entwickelt sich mehr und mehr zum Exoten.
An jedem Arbeitsplatz stellt sich die Frage: Birgt dieser PC hier überhaupt sensible Daten und käme man an diese nicht auch auf anderem Wege, zum Beispiel über die Ausdrucke im Leitzordner, heran? Dennoch ist die tatsächliche Gefährdung gar nicht so relevant, wie man meinen möchte: Mit Sicherheit gibt es in jeder größeren Organisation Daten, die nicht Public domain sind. Da die typischen PCs in einem Kommunikationsverbund tätig sind, müssen sie alle geschützt werden. Im Interesse einer einheitlichen Organisation, der legitimierten Austauschbarkeit von Daten und Programmen, des weitgehend einheitlichen Trainings der Mitarbeiter und ähnlicher Gründe sind einheitliche Schutzmechanismen anzustreben. Außerdem erzeugt das Bundesdatenschutzgesetz einen Formalismus hinsichtlich der Verletzung der Rechte an "personenbezogenen" Daten. Der Zugriff Unberechtigter muß also verhindert werden, ob es nun wahrscheinlich ist, daß sich wirklich jemand dafür interessiert oder nicht.
Schwachstelle Nummer eins: Laptops
Der Tendenz zur allgemeinen Vernetzung widersprechen Laptops und Notebooks. Oft bergen gerade sie für den Manager auf Reisen und auf Konferenzen, für den Außendienstler, den Arzt auf dem Kongreß, die sensibelsten Daten bei erhöhtem Risiko unberechtigter Einsichtnahme.
Es gibt einige wenige Schutzmechanismen, die mit der Anwendungs- oder Systemsoftware geliefert werden. Das Textsystem Wordperfect zum Beispiel sieht einen recht wirksamen Kennwortschutz vor. DR DOS kennt ebenfalls einen Paßwortschutz. Angriffen seitens geschulter Informatiker dürften diese Methoden allerdings kaum standhalten.
Im kleinen Büro, wo die PC Benutzung überschaubar ist und wo es nur um Dokumente geht, gibt es ein ganz besonders simples Verfahren. Eine Anwaltsgehilfin beispielsweise kann als aktuelles Textverzeichnis Laufwerk A: oder B: benennen. Dann geraten die "Dokumente" erst gar nicht auf die Festplatte, und die Diskette wird in den Tresor gesperrt.
All diese Mechanismen haben jedoch nur dann eine Chance, einigermaßen konsequent genutzt zu werden, wenn Einzelanwender ihre Daten im eigenen Interesse schützen wollen. Problematisch wird es, wenn zahlreiche Angestellte die Notwendigkeit eines Zugriffschutzes nicht akzeptieren.
Problematischer als Datenklau sind im Alltag Computerviren: Große Firmen, Banken und Versicherungen stöhnen unter der neuen Plage. Herein kommen die Viren praktisch nur über das Diskettenlaufwerk des PCs. Richten sie dort und bei den anderen Arbeitsplätzen, die sie über das Netzwerk anstecken schon genug Unheil an, so ist zu fürchten, daß nimmermüder Saboteurgeist auch schon über einschlägige Krankheiten für den Großrechner nachgrübelt: Eingangspforte ist immer der PC.
Diskless - die Radikalkur
Ein Experte für große Netzwerkprojekte empfiehlt deshalb eine Radikalkur. Eckhard Völcker, technischer Chef-Manager bei der Berliner CPS Gesellschaft für Systemintegration mbH, schlägt seinen Kunden, also industriellen Großbetrieben, Krankenhäusern und Behörden, den Diskless-PC vor und zwar sowohl ohne Diskette als auch ohne Festplatte. Den Einwand, damit beraube man den Rechner seiner lokalen Arbeitsfähigkeit, läßt er nicht gelten: "Wir rüsten die Arbeitsstationen mit entsprechend großen Hauptspeichern aus. Gesichert wird automatisch auf dem Netzwerkrechner und von dort auch geladen. Abgeschaltet, also außerhalb der Arbeitszeit, enthält der Hauptspeicher im Gegensatz zu einer Festplatte überhaupt keine Daten!"
So werden Datendiebstahl verhindert und, mangels Diskettenstation, auch das Einschleusen von Viren. Neue Programme und Daten über das Netz spielt der Systemverwalter, gegebenenfalls nach Check mit einem Virenscanner, auf die Arbeitsstationen.
Welche Sicherheitsvorkehrungen sehen denn Netzwerke vor? In Netware von Novell zum Beispiel kommt man nicht ohne Paßwort hinein. Ist es bis heute das verbreitetste Betriebssystem für Netze, so befindet sich der "LAN Manager" im Vormarsch, und zwar nicht zuletzt deshalb, weil er, ausgehend von seiner Server-Basis OS/2, sowohl für die Unix, wie auch für die DOS- und Windows-Welt angepaßt wurde. Bei IBM heißt er LAN Server. ICL zum Beispiel setzt voll auf den LAN Manager, um auf diese Weise PCs und Unix-Rechner miteinander zu verbinden. Dafür ist er in seiner Variante LAN Manager/X hervorragend geeignet, und deshalb läßt sich das Sicherheitssystem eines Netzwerks an seinem Beispiel gut erläutern.
Wenn die Datenmengen, die eine große Zahl Arbeitsplatz-PCs bewältigen soll, zu umfangreich werden, ist ein größerer Rechner, als ihn die DOS- und OS/2-Welt zur Verfügung stellen können, als Server gefordert. Unix-Rechner haben den Vorteil, daß sie ähnlich wie DOS in der PC-Welt einen Standard darstellen. Das Zusammenspiel von Windows-DOS, DOS und OS/2 via LAN Manager und LAN Manager/X funktioniert inzwischen, durch Standards abgesichert, relativ gut.
Unix-Sicherheit auch für PC-Netze
Damit werden die Sicherheitsaspekte von Unix, die früher keinen guten Ruf gemessen, auch für die PC-Welt interessant. Unix System Laboratories, das offizielle Entwicklungsunternehmen für Unix, an dem außer AT&T zahlreiche andere Hersteller beteiligt sind, hat gerade "Enhanced Security" (ES) für Unix V 4, freigegeben. Da die Referenzportierung, deren Ergebnisse allen Interessenten offenstehen, für Sparc/RISC- Rechner von ICL durchgeführt wurde, finden sich bei diesem Unternehmen besonders kompetente Informanten für dieses Thema. Hubert Borgmeier, bei ICL Deutschland in Fürth für Unix-Beratung zuständig, sieht eine wachsende Verzahnung der PC- und der Unix-Welt voraus: "Vor allem Datenbankanwendungen, die auch für den stärksten 486er PC zu umfangreich sind, lagert man auf Unix-Rechner aus, und zwar nicht auf die kleineren und mittleren Modelle, sondern auf mächtige Maschinen, deren Leistung in relevanten Aufgabenbereichen nahe an Großrechner herankommen. Dazu benutzt man unter anderem RISC-Architektur und Parallelverarbeitung auf Mehrprozessorsystemen. Die Datensicherheit wird dabei so wohl von dem Verbindungsglied LAN Manager/X wie von Unix selbst gewährleistet. Der PC ist dann mit der Unix-Welt und gegebenenfalls mit geografisch weitgespannten WANs verzahnt."
Borgmeier weiter: "Enhanced Security für Unix System V, Version 4, erschließt dem über LAN Manager angeschlossenen PC ein Sicherheitssystem, das sowohl die Forderungen solcher Anbieter wie die des amerikanischen Verteidigungsministeriums erfüllt." Interessant seien dabei besonders die "Trusted Communication Paths", die verhindern, daß nichtautorisierte Prozesse ihrerseits I/O-Prozesse auf diesem Kommunikationspfad initiieren könnten. Welche Sicherheitsmechanismen für seine Zugriffe aktiviert werden, brauche den Benutzer nicht zu kümmern. Seine sicherheitstechnische Eingangspforte ist nach Borgmeiers Konzept immer der LAN Manager, präsentiert unter der Windows-Benutzeroberfläche.
Borgmeiers Kollege Dieter Heussner ist Experte für den LAN Manager: "Der Verantwortliche für die Datensicherheit im Betrieb ordnet jedem Benutzer für jede Datei oder jeden Dateityp seine Rechte zu. Das geschieht mit einem arbeitssparenden Installationsprogramm. Darf der Anwender nur lesen oder auch schreiben, also abspeichern? Darf er löschen oder neue Dateien anlegen? Auch das Arbeiten mit Unix-Programmen kann er dem Benutzer erlauben oder verwehren", schildert Heussner die Tätigkeit des Datensicherheitsbeauftragten. Der Unix-Betrieb lasse sich so einrichten, daß der User die Programme genauso von der Windows-Oberfläche abruft wie DOS-Programme. Daten könnten auch - immer unter Sicherheitskontrolle - von einem System in Programme des anderen übernommen werden. Für den Server gebe es mit der Einrichtung der "Local Security" ähnliche Schutzmechanismen, wie man sie von Spezialsoftware für Einzel-PCs kennt.
Auf den wichtigen Aspekt der Protokollierung weist Andreas Diedrich, bei CPS für LAN-Support und Projektierung zuständig, hin. "Ein System muß in der Lage sein, einerseits alle verdächtigen Vorgänge, zum Beispiel häufige Falscheingaben von Paßwörtern, zu dokumentieren. Andererseits sollte es über vernünftige Maßnahmen verfügen, diese in riesigen Mengen anfallenden Daten zu präsentieren. Sonst kann man wegen der schieren Masse keinen sinnvollen Gebrauch davon machen." Sowohl LAN Manager wie Unix bieten entsprechende Dienstprogramme.
Solange man PCs mit eigener Festplatte betreibt, von den Diskettenstationen ganz zu schweigen, bleibt das Problem, das Völcker von der CPS angesprochen hat: der PC als Schwachstelle des Hauptrechners, mag er Server heißen, unter DOS oder Unix laufen oder ein großmächtiger IBM-Zentralrechner sein. Die Münchner Firma Josef Sprenger Systeme hat einen neuen Weg gefunden, um den PC, sicher zu machen, auch wenn er Diskette und Festplatte behält.
Sicherung mittels Geheimcode
Josef Sprenger, ein routinierter Ver- und Entschlüsselungsexperte, hat realisiert, was die traditionellen PC-Sicherheitsspezialisten bislang für unmöglich hielten: ein Verschlüsselungsverfahren, das so schnell ist, daß es jede Computereingabe mit einem unmerkbaren Zeitaufwand in einen sicheren Geheimcode konvertiert. Zwar ist schon lange klar, daß dies die sicherste Methode wäre, Mißbrauch zu verhindern. Doch die Methoden, die man bislang kannte, waren entweder zu langsam oder zu unsicher. So besteht der übliche Festplattenschutz darin, deren FAT zu verschlüsseln. Für eine schnelle Online-Verschlüsselung aller Daten kam man bisher nicht ohne zusätzliche Einbauplatinen aus.
Oft werden sich nicht alle Arbeitsplatzstationen damit ausrüsten lassen, weniger wegen der Kosten als vielmehr wegen der verfügbaren Steckplätze. Haben aber nur einige eine solche Steckkarte, dann ist einer der Hauptvorteile des PCs dahin: die Austauschbarkeit. Die Verschlüsselungs-PCs sind zu den anderen nicht mehr "kompatibel". Beim Datenaustausch und beim Austausch fehlerhafter Datenstationen gibt es Komplikationen. Zudem sind die Verschlüsselungsplatinen für einen sehr geschickten Informatiker nicht unbedingt ein Hindernis: Er verfügt über Methoden, deren Speicher zu "verhören" und so den Code zu knacken.
Dieses Problem schafft die Firma Joseph Sprenger Systeme mit "Codron" aus der Welt. Ohne Platine, zum Preis gewöhnlicher PC-Sicherheitssoftware, werden sämtliche Daten verschlüsselt. Jetzt haben weder Viren noch Datendiebe eine Chance, und der PC ist für alle "legalen", das heißt von der Firma gewollten, Daten und Programme mit Festplatte und Diskette zu benutzen.
Sprenger hat sein Produkt schon bei vielen renommierten Unternehmen installieren können, darunter auch bei Banken. Diese warten auf seine neueste Entwicklung, die in Kürze fertig sein soll: Eine Online-Zwangsverschlüsselung der Ein- und Ausgabe auf und von Disketten. Das ist unter anderem für den Datenträgeraustausch wichtig: Viele Bankkunden aus der Wirtschaft geben ihre Überweisungen in Form von Disketten vom PC direkt an den Computer der Bank. Viren wie auch Datendiebe haben keine Chance. Die Empfängercomputer "verstehen" nur Codron.
Die Chiffrierung beruht auf dem in Japan entwickelten Algorithmus Feal 8. Der Code hat bis jetzt noch jedem Versuch wiederstanden, ihn zu knacken.
Die Besonderheit von Codron liegt außer im raffinierten Schlüssel-Management in der Tatsache, das die gesamte Festplatte und somit selbst das Betriebssystem verschlüsselt werden.
Der Code ist aber nur die eine Seite der Medaille. Die Zugriffsregulierung muß auch am Einzel-PC stattfinden wenn man nicht überhaupt alles Schützenswerte auf den Netz-Server verbannt und ansonsten den Empfehlungen der CPS folgt. Wer dagegen auf kompletten PCs an den Arbeitsplätzen besteht, für den gibt es die inzwischen recht weit verbreitete Spezialoberfläche "Safe-Guard". Sprenger bereitet derzeit eine andere Lösung vor: Die Benutzer sollen die Oberfläche ihrer Wahl behalten, also zum Beispiel Windows. Die Eingabe des Paßwortes bei der Inbetriebnahme bewirkt, daß nur noch die Dateien angezeigt werden, zu denen dem Benutzer der Zugriff erlaubt ist. Der Anwender hat also den gleichen Komfort wie unter dem LAN Manager.
Die Zugriffskontrolle sollte nicht zuletzt den direkten Zugang zum Betriebssystem regulieren, der nur geübten sowie verantwortlichen Mitarbeitern erlaubt wird. Die Statistik sagt nämlich, daß ungeschicktes Handhaben eben dieser Manipulationsmöglichkeiten die meisten PC-Katastrophen verursacht.
Die Bull AG hat einen Chip-Kartenleser entwickelt, der Wissen, nämlich das Paßwort, mit Besitz, also der Chip-Karte, zur Authentizierung verbindet. Die Chip-Karte ist eine Art Scheckkarte mit eigenem Computerspeicher darin. Sie paßt also bequem ins Portemonnaie. Einen ähnlichen Weg geht die Firma Rainbow. Sie sieht einen Dongle vor, einen Stecker von ungefähr der halben Größe eines Druckersteckers, den man auf die Parallelschnittstelle appliziert. Darin sind alle Zugriffsregulierungen codiert. Ein Paßwort ist nicht nötig, kann jedoch wahlweise einbezogen werden. Ohne diesen Dongle liest man aus der Festplatte - egal, ob auf dem lokalen PC oder dem Server - nur unverständliches Kauderwelsch heraus.
Speziell für den Informationstransport über weite Strecken ist der RSA-Code gedacht der das Problem der Schlüsselzustellung lösen soll: Durch die Kombination von einem geheimen Code im Besitz des Empfängers und eines öffentlichen, aus einem Verzeichnis ersichtlichen Codes soll eine praktisch unangreifbare Verschlüsselung möglich sein. RSA ist sehr langsam und sehr teuer. Um die Geschwindigkeit bei größtmöglicher Sicherheit zu erhöhen, sehen die Sicherheitspakete rund um RSA, die Utimaco, Oberursel, anbietet, eine DES-Verschlüsselung (die US-Konkurrenz zu Feal) der eigentlichen Datei und eine RSA Verschlüsselung des Schlüssels vor.
Auch Laptops und Notebooks gesichert
Sprengers Lösung ist ideal für tragbare Computer, denn sie haben meist gar keinen Platz für Einschubkarten. Nicht einmal ein Schutz vor einem Starten von der Diskette ist möglich. Ist man aber erst einmal am DOS-Prompt, sind Programme, die nur die FAT verschlüsseln, für den Könner so gut wie geknackt. Codron verhindert ohne Hardwarezusatz das Starten von der Diskette. Toshiba, Marktführer in Laptops, empfiehlt denn auch Sprengers Produkt.
Gegen den allzu simplen Trick, Betriebssystem und Sicherungsmaßnahmen mit der Diskette zu umgehen, haben bessere PC-Hersteller schon selbst Vorkehrungen getroffen. ICL-PCs bieten die Möglichkeit, ein Paßwort vom Benutzer zu verlangen, ehe der Rechner die Diskette oder Festplatte nach dem Betriebssystem fragt. Ähnliche Regelungen bieten auch Compaq, Nokia und andere Hersteller der PC-Oberklasse. Außer dem Zugang zum PC schützt man auch die Ausgänge zu Druckern oder Kommunikationsschnittstellen, wofür übrigens auch Codron eine Option vorsieht.
Das Bundesamt für Sicherheit in der Informationstechnik zertifiziert PC-Schutz- und andere Sicherheitsprodukte nach den von ihm entwickelten Sicherheitskriterien. Eine Liste kann man dort anfordern. Allerdings ist das Prüfverfahren langwierig, so daß empfehlenswerte, aber noch neue Produkte darin nicht enthalten sind.