Unkontrollierter Daten- und Faxverkehr, wachsende Heterogenitaet der Hardwarekomponenten im Netz, Einsatz nichtevaluierter und - zertifizierter Software, perfektionierte Computerspionage und die besonderen Gefahren von Gopher-Anwendungen oder World Wide Web (WWW) bedeuten erhebliche Sicherheitsprobleme. Hartmut Pohl* stellt ein Verfahren vor, mit dem sich der Sicherheitsstatus einer Unternehmens-DV analysieren laesst.

Die besonderen Probleme der Informationssicherheit liegen in juengerer Zeit insbesondere in den folgenden Bereichen: IV-Systeme werden an offene und oeffentliche Netze angeschlossen, ohne dass ueberwacht wird, welche Aktivitaeten vom Netz aus mit dem eingehenden Verkehr in den eigenen IV-Systemen durchgefuehrt werden. Haeufig genug wird auch nicht ueberprueft, welche Daten Mitarbeiter in das Netz senden. Insgesamt bleibt der Datenverkehr oft unkontrolliert.

So wird noch zu selten der ausgehende Faxverkehr gesichtet. Genausowenig wird meist der Dateneingang kontrolliert, sei es als E-Mail oder File-Transfer etc. Dies gilt erst recht fuer Gopher- Anwendungen oder World Wide Web (Internet).

In Firmen werden haeufig Hardware und Betriebssysteme verschiedener Hersteller eingesetzt. Ein Systembetreuer kann die unterschiedlichen Sicherheits-Features, die sich dadurch ergeben, schwer ueberschauen. Heterogenitaet kann daher zu sehr grosser Unsicherheit fuehren. Einige Unternehmen sind deshalb wieder auf homogene Architekturen (ein Hersteller, ein Betriebssystem, ein Datenbanksystem) umgeschwenkt.

Viele Betriebssysteme, darunter einige der bekanntesten Hersteller, wurden nach Sicherheitsnormen (etwa dem US- amerikanischen Orange Book und ITSEC von der EU) bewertet. Der Einsatz veralteter oder nichtevaluierter und nichtzertifizierter Betriebssysteme fuehrt zu ueberfluessigen Risiken in Form von unberechtigten Zugriffen oder Computerspionage.

Schwachstellen und Manipulierbarkeit

Unternehmen legen haeufig mehr Wert auf den Evaluierungsreport als auf das abschliessende Zertifikat. Aus dem Evaluierungsbericht werden die bewerteten Komponenten erkennbar und auch die Sicherheitsschwachstellen, gegen die dann Massnahmen zu ergreifen sind.

Auch die Vielzahl der eingesetzten Datenbanksysteme und Anwendungsprogramme schafft Probleme. Nicht wenige Unternehmen nutzen noch Standard- und Individualsoftware, ohne ihre Sicherheitsrisiken bewertet zu haben. Hier gilt es, die fuer das Unternehmen wichtigsten Programme herauszufinden und anschliessend hinsichtlich Schwachstellen wie Manipulierbarkeit zu bewerten.

Ueber die Vielzahl der Nutzer hat der IV-Leiter kaum noch einen Ueberblick. Bei bis zu 20 000 Endanwendern kann gar nicht mehr von Hand kontrolliert werden, wer welche Rechte zum Zugriff auf welche Daten besitzt oder von anderen Berechtigten erhalten hat. Hier werden zunehmend Tools eingesetzt, die von einem einzigen Arbeitsplatz aus die Verwaltung und Kontrolle aller Benutzer ermoeglichen (Single Point of Security Control and Administration - SPSC und SPSA.)

Darueber hinaus macht sich in einer Reihe von Unternehmen eine gewisse Laxheit breit. Da Eindringlinge in die Netze und Systeme in der Regel nicht bemerkt werden und eventuell auch wegen fehlender Sicherheitsmassnahmen nicht bemerkt werden koennen, wird irrtuemlich behauptet, es gaebe keine Eindringlinge, und das gesamte IV-System sei sicher.

Die frueher praktizierte Aufgabentrennung in unabhaengige Phasenentwicklung, Test, Produktion und Schulung ist wegen Umorganisationen oder Straffung des Managements und Zusammenlegung von Funktionen haeufig weggefallen. In der Folge haben viele Mitarbeiter Zugriffsrechte gebuendelt erhalten, die frueher auf mehrere Mitarbeiter verteilt waren. Dies fuehrt unweigerlich zu hoeheren Sicherheitsrisiken.

An die Informationsverarbeitung werden viele, teilweise widerspruechliche Forderungen gerichtet. Die Investitionen in die Datenverarbeitung sollen weiterhin stark verringert, die Betriebskosten vergleichbar gesenkt werden. Mittel fuer Sicherheitsmassnahmen werden nur nach exakter Begruendung genehmigt. Die Unternehmensleitung will andererseits ueber alle wichtigen internen Vorgaenge rasch und detailliert informiert sein. Dieses Ziel setzt eine hochgradige Versorgung mit allen zur Steuerung des Unternehmens wichtigen Daten voraus. Ferner sollen externe Daten aktuell verfuegbar sein und mit Unternehmensdaten korreliert werden koennen.

An welchen Stellen ist ein Eingriff moeglich?

Weiterhin sollen alle Mitarbeiter - vom Vorstand bis hin zu den Produktionsbereichen - preiswert, schnell und asynchron kommunizieren und Daten austauschen koennen. Dies gilt auch fuer die nachgeordneten Unternehmen, Unternehmensteile und die verbundenen Unternehmen. Die Sicherheitsprobleme liegen auf der Hand: grundsaetzliche Zugriffsmoeglichkeit aller Mitarbeiter auf alle Daten und Systeme sowie - ueber oeffentliche Netze - vieler Externer auf alle Daten und Systeme des Unternehmens.

Die Unternehmensleitung sieht es als Aufgabe des Sicherheitsbeauftragten an, unter Beruecksichtigung der abzuwickelnden Aufgaben der Informationsverarbeitung die relevanten Sicherheitsprobleme zu loesen. Die Erledigung der taeglichen Aufgaben muss nach den Wuenschen der Fachabteilungen geschehen. Damit muessen alle Sicherheitsvorstellungen in Einklang gebracht werden.

Eine der wichtigsten Aufgaben des Beauftragten fuer Informationssicherheit ist die Bewertung der eingesetzten Standard- und Individualsoftware unter Sicherheitsaspekten: Alle verarbeiteten Daten werden in der Informationswertanalyse einer Bewertung unterzogen. Und zwar wird ein hierarchisch gegliedertes Klassifikationsschema festgelegt, das Bewertungen enthaelt wie unternehmensintern, geheim und streng geheim. Praktikabel sind auch wesentliche detailliertere Abstufungen. So existiert bei staatlichen Stellen die folgende fuenfgliedrige Abstufung: offen, nur fuer den Dienstgebrauch, vertraulich, geheim, streng geheim.

Notwendig ist ausserdem eine inhaltliche Zuordnung der Daten zu Bereichen wie zum Beispiel Planung, Finanzen, Forschung und Entwicklung sowie Personal. Zugriffsrechte werden den Mitarbeitern entsprechend dem Bereich, dem sie angehoeren, und gemaess der von ihnen zu bearbeitenden Aufgaben eingeraeumt.

Die Programme und Programmroutinen aller Verfahren muessen hinsichtlich ihrer Manipulierfaehigkeit und Eingriffsmoeglichkeit sowie ihres Totalausfalls (Nichtverfuegbarkeit) mit einer funktionalen Informationsflussanalyse bewertet werden: An welchen Stellen ist ein unberechtigter Eingriff in den Programmablauf moeglich? Solche Eingriffe koennen zu fehlerhaftem Ablauf bis hin zum Totalausfall fuehren. Gleichermassen muessen die Folgen dieser Manipulationsmoeglichkeiten bewertet werden (vgl. die Abbildung Seite 39).

Mit dieser Informationsflussanalyse werden die informationsverarbeitungsrelevanten Betriebsablaeufe vollstaendig widergespiegelt. Ergebnis ist die Bewertung der IV-gestuetzt ablaufenden Verfahren hinsichtlich ihrer Sicherheitsrelevanz, das heisst hinsichtlich der Auswirkungen des Fehlverhaltens auf das Unternehmen.

Eine Voraussetzung fuer diese Bewertung ist eine aussagefaehige Dokumentation; andernfalls koennen nicht alle Programme und Programmroutinen vollstaendig beruecksichtigt werden und werden auch die sicherheitsrelevanten Schwachstellen nicht deutlich.

Der naechste Schritt ist die Auswirkungsanalyse von Programmaenderungen. Hier werden die Folgen der im ersten Schritt erkannten Schwachstellen untersucht. Damit werden die im allgemeinen komplexen Wirkungsketten zwischen Programm- oder Nutzdatenaenderungen und den IV-relevanten Auswirkungen offengelegt.

Darauf aufbauend koennen die fuer die Anwendungsprogramme notwendigen Sicherheitsmassnahmen eingegrenzt werden. Im weiteren Verlauf muessen naemlich ausschliesslich diese erkannten und als folgenreich bewerteten Schwachstellen abgesichert werden.

Eine Reihe von Manipulationen an Daten und Programmen kann erkannt werden, wenn DV-technische Kontrollelemente des Betriebssystems angemessen genutzt und richtig eingestellt werden. Dazu muessen Art und Umfang der vom Betriebssystem erstellten Audit-Daten exakt festgelegt werden.

Selbstverstaendlich darf bei diesem Verfahren nicht versaeumt werden, die Audit-Verfahren des Betriebssystems sowie die Audit- Daten selbst einer Pruefung auf Manipulierbarkeit zu unterziehen. Dazu muss die im Fall der erwaehnten moeglichen Manipulationen automatisiert erstellte Protokollinformation (Logdaten) bestimmt werden. Zu pruefen ist, inwieweit die Protokollinformation von Unberechtigten manipuliert werden kann.

Mit diesem Vorgehen wird deutlich, welche Manipulationen oder Ereignisse sich wenigstens im nachhinein feststellen lassen. Abzuschaetzen ist, zu welchem Zeitpunkt sie erkannt werden und ob der moeglicherweise entstehende Schaden ueberhaupt noch begrenzt - oder eben nur ermittelt - werden kann.

Ferner sind anwendungsprogrammtechnische Kontrollelemente zu bewerten. Hierbei ist zu ermitteln, ob und in welchem Ausmass die Protokollinformation sowie das Verfahren selbst von Unberechtigten manipuliert werden koennen.

Als Folge dieser Analyseschritte laesst sich abschliessend einschaetzen, wie lange das Unternehmen ueberleben wird, wenn die erkannten Gefahren eintreffen. Mit diesem Verfahren laesst sich der Wert der Verfahren, Programme und Daten fuer das Unternehmen bestimmen und eine Rangfolge der fuer Anwendungsprogramme notwendigen Sicherheitsmassnahmen festlegen. Deren Wirtschaftlichkeit ergibt sich unmittelbar aus dem Verhaeltnis ihrer Kosten zu dem moeglichen Schaden.

Nach staatlichen Kriterien evaluierte Komponenten

Sicherheitsbewusste Datenverarbeiter setzen nach Moeglichkeit ausschliesslich nach staatlichen Kriterien evaluierte und zertifizierte Komponenten ein. Der Einsatz veralteter oder nichtevaluierter und nichtzertifizierter Systeme birgt vermeidbare Risiken wie Computerspionage oder spurenlose Manipulation an Daten durch unberechtigte Zugriffe. Dies gilt insbesondere fuer Betriebssysteme.

Es reicht allerdings nicht aus, nur zertifizierte Betriebssysteme einzusetzen. Vielmehr muessen gleichermassen die Datenbanksysteme, Standard- und Individualsoftware vertrauenswuerdig sein. Bis die marktgaengigsten Standardsoftware-Pakete zertifiziert sind, duerfte allerdings noch einige Zeit ins Land gehen. Bis dahin werden Anwender eine derartige Bewertung selbst vornehmen, oder die Software-Anbieter betrachten sich dafuer als zustaendig. Zumindest Anhaltspunkte ueber das Sicherheitsniveau der Software lassen sich auf diese Weise gewinnen.

Literatur:

Pohl, H.; Lessing, G.: Die Sicherheitsproblematik umfangreicher DV-Systeme und Netze eskaliert wegen fehlender Sicherheits- Kontrollen und -Verwaltung. COMPUTERWOCHE Extra 3/1994, Seite 28 - 38

Pohl, H.; Weck, G. (Hrsg.): Managementaufgaben im Bereich der Informationssicherheit. Muenchen 1995

* Professor Dr. Hartmut Pohl, Isis Institut fuer Informationssicherheit, Essen.