MÜNCHEN (cmd) - Mit den speziellen Anforderungen, denen Systemsoftware im Hinblick auf die Datensicherheit genügen sollte, beschäftigt sich derzeit ein Forschungsvorhaben des TÜV Bayern e. V. in München. Die Untersuchung, die anhand dreier Mehrplatzrechner bundesdeutscher Provenienz durchgeführt wird, soll in der zweiten Hälfte dieses Jahres abgeschlossen sein. Erste Ergebnisse wurden bereits jetzt veröffentlicht.

Für die Systemuntersuchung hat das TÜV-Projektteam unter der Leitung von Bernd Breutmann fünf sogenannte Basisfunktionen isoliert, die in einem System in einem gewissen Maß realisiert sein müssen, um einem bestimmten Sicherheitsbegriff zu genügen.

Die erste Basisfunktion beinhaltet die Identifikation und Authentifizierung. Im Hinblick auf die Zuordnung systemweit eindeutiger Namen zu Subjekten und Objekten gibt es laut TÜV keine besonderen Probleme. Dagegen seien Ansätze für die Authentifizierung von Objekten kaum vorhanden. Vor allem erfolge keine Authentifizierung des DV-Systems gegenüber dem Benutzer.

Bei der zweiten Basisfunktion, der Autorisierung, haben die TÜV-Prüfer einige Schwächen bei den zwei bisher getesteten Systemen ausfindig gemacht. In dem einen System könne beispielsweise der Sachbearbeiter durch Angabe von Dateinamen auch auf Dateien zugreifen, auf die er nicht zugreifen sollte. Das zweite System unterstütze nicht den Schutz des Eigentümers vor sich selbst.

Bei der Zugriffsüberprüfung - Basisfunktion drei - sei dagegen die wechselseitige Isolation von Systembereichen und einzelnen Benutzerbereichen in beiden Systemen vom Ansatz her gut gelöst. Es gebe allerdings Fälle, in denen sich bei entsprechenden Zugriffen die Festlegung der Autorisierung als wirkungslos erweise.

Für die vierte Basisfunktion "Protokollierung" beurteilt der TÜV die vorhandenen Ansätze in den Systemen als gut. In einem der Systeme werde allerdings die Ausführung von Systemkommandos nicht protokolliert.

Bei der letzten Basisfunktion, der Überwachung, ergaben die Tests, daß auch die wiederholte Eingabe falscher Paßworte nicht zu nennenswerten Konsequenzen führte. In beiden Systemen sei es möglich, die Protokollfunktionen zu umgehen oder auszuschalten.

Insgesamt, so Breutmann, kann festgestellt werden, daß sich der vorgesehene Untersuchungsablauf bei den bisherigen Tests bewährt hat. Analysenmethoden und Prüfanforderungen müßten aber noch einmal überarbeitet werden. Die weiteren Arbeiten des Forschungsvorhabens sähen vor, die drei vorgesehenen Systemuntersuchungen vollständig durchzuführen.

Im Anschluß daran soll ein Gutachten erstellt werden, in dem jeweils die Stärken und Schwächen der Systeme besonders vermerkt werden. Das Gutachten enthalte außerdem auch Hinweise darauf, wie die Schwächen der Systeme bei Weiterentwicklungen behoben beziehungsweise bei neuen Entwicklungen vermieden werden können. Für weitere Informationen steht Projektleiter Bernd Breutmann, TÜV Bayern e. V., Westendstr. 199, 8000 München 21, 089/57 91 10 94, zur Verfügung.

IBM-FuE-Aufwand: Milliarden statt Millionen

Lediglich 2,1 Millionen Dollar - so berichtete die COMPUTERWOCHE in ihrer Ausgabe Nr. 11 vom 11. März auf Seite 2 - habe IBM im Geschäftsjahr 1982 für Forschung und Entwicklung weltweit ausgegeben. Statt Millionen muß es natürlich Milliarden heißen.