Organisatorische und technische Maßnahmen müssen zusammenspielen

Sicherheit bietet nur ein maßgeschneidertes System

12.10.1990

Von Elmar Stöcker, Goswin Eisen und Gerhard Weck*

Bis vor kurzem noch war die Sicherheit der in einem Rechenzentrum verarbeiteten Informationen kein Thema, das auf größeres Interesse stieß: Man glaubte, mit der Installation der einen oder anderen Schutzmaßnahme genug geleistet zu haben, wenn man so zumindest den gesetzlichen Anforderungen genügte. Ansonsten vertraute man auf mehr oder weniger regelmäßige Backups als Sicherung gegen eine eventuelle Zerstörung der Daten.

In den Jahren 1987 und 1988 zeigten einige spektakuläre Einbrüche in Rechnersysteme, daß die Sicherheit dieser Systeme und der von ihnen bearbeiteten Daten oft auf eine viel subtilere Art bedroht ist, als man bis dahin allgemein angenommen hatte.

Diese Bedrohungen sind durchaus nicht neu. Sie traten erst jetzt in das Bewußtsein der Öffentlichkeit, weil Vorgänge, die bis dahin nur als Spekulation galten und höchstens unter Sicherheits-Fachleuten diskutiert wurden, nun tatsächlich bekannt wurden.

Der Nutzen ist oft nur schwer abzuschätzen

Hier zeigt sich ein altes Dilemma jeglicher Sicherheits-Diskussion: Solange nicht wirklich etwas passiert, sind alle Sicherheits-Maßnahmen letztlich ein Kampf gegen nicht existierende Vorgänge; ihr Nutzen ist oft nur schwer abzuschätzen und wird vielfach auch nicht gesehen. Unterlassungen auf diesem Gebiet rächen sich erst, wenn ein größerer Schaden auftritt - dann aber ist es zu spät. Es nützt nichts, den Wert seiner Daten erst dann zu erkennen, wenn sie schon zerstört oder verfälscht sind.

Wegen der Komplexität der Schutzproblematik und der Verwobenheit von technischen und organisatorischen Problemen ist es erforderlich, den Schutz eines Rechenzentrums umfassend und unter Berücksichtigung aller relevanten Aspekte zu planen und zu realisieren. Dies hat nur dann Aussicht auf Erfolg, wenn man systematisch vorgeht und sich dazu auf ein Schutzmodell abstützt, das die juristische, organisatorische und technische Seite des Schutzes konsistent behandelt.

1. Grundbedrohungen

Abhängig von der Einsatzumgebung und der Sensibilität der zu verarbeitenden Daten kann ein DV System unterschiedlichen Gefahren ausgesetzt sein. Aus der Vielzahl der Einzelbedrohungen lassen sich drei Grundbedrohungen ableiten, durch die eine Klassifizierung möglich wird:

- unbefugter Informationsgewinn (Verlust der Vertraulichkeit);

- unbefugte Modifikation von Informationen (Verlust der Integrität);

- unbefugte Beeinträchtigung der Funktionalität (Verlust der Verfügbarkeit).

Bedingt durch die Aufgaben, die ein DV-System zu erfüllen

hat, kann die Schwere der einzelnen Bedrohungen sehr unterschiedlich sein. So ist zum Beispiel für eine öffentliche Datenbank der Verlust der Vertraulichkeit keine Gefahr. Für eine Datenbank mit personenbezogenen Daten dagegen stellt er eine gravierende Bedrohung dar.

1.1 Verlust der Vertraulichkeit

Unbefugter Informationsgewinn und damit ein Verlust der Vertraulichkeit kann eintreten, wenn Benutzer eines DV-Systems Daten lesen können, für die sie keine Zugriffsberechtigung haben. Dies kann zum Beispiel dann geschehen, wenn Daten durch die Sicherheitsfunktionen des Systems nicht ausreichend geschützt werden. Sensible Daten, firmenvertrauliche Informationen und vor allen Dingen personenbezogene Daten, müssen zuverlässig vor unerlaubtem Zugriff geschützt werden.

1.2 Verlust der Integrität

Unbefugte Veränderung von Informationen führt zum Verlust ihrer Integrität. Die Ursache kann ein Irrtum sein, wenn zum Beispiel Daten versehentlich verändert, gelöscht oder unvollständig modifiziert werden. Auch durch ein fehlerhaftes Programm oder durch einen Systemausfall können inkonsistente oder unvollständige Datenbestände entstehen.

Mit am gefährlichsten sind unerlaubte Manipulationen, bei denen die Daten absichtlich verändert, gelöscht oder zerstört werden.

1.3 Verlust der Verfügbarkeit

Ein Verlust der Verfügbarkeit eines DV-Systems liegt dann vor, wenn dieses System seine Funktion oder Teile seiner Funktion nicht mehr erbringt. Dabei lassen sich drei Verfügbarkeitsbereiche unterscheiden:

- Verfügbarkeit der Daten,

- Verfügbarkeit der Dienste,

- Verfügbarkeit der Hardware.

Die Verfügbarkeit der Daten kann verlorengehen, wenn Daten zerstört werden oder wenn ein berechtigter Zugriff auf die Daten abgewiesen wird. Ein Verlust der Verfügbarkeit von Diensten ist dann gegeben, wenn Teile des Systems die geforderten Dienstleistungen nicht oder nicht in einer vorgegebenen Zeit erbringen. Ein Verlust der Hardware-Verfügbarkeit tritt ein, wenn Teile des Systems oder das gesamte System ausfallen.

2. Gegenmaßnahmen

Diesen Bedrohungen kann durch spezifische Maßnahmen begegnet werden. Sie leiten sich aus den Bedrohungen ab, die in der Einsatzumgebung des jeweiligen Systems wirksam werden können. Es können Gegenmaßnahmen aus folgenden vier Bereichen unterschieden werden:

- Organisatorische Maßnahmen,

- Materielle Maßnahmen,

- Personelle Maßnahmen,

- DV-technische Maßnahmen.

2.1 Organisatorische Maßnahmen

Zu diesen Gegenmaßnahmen gehören die Erstellung, Durchsetzung und Einhaltung von Sicherheitsrichtlinien. Es muß überprüft werden, ob die Personen, die mit dem System arbeiten, sie auch einhalten. In diesem Bereich liegen zur Zeit die meisten Schwachstellen.

2.2 Materielle Maßnahmen

Ohne Maßnahmen im Umfeld des DV-Systems, die seine physische Unversehrtheit sicherstellen, kann die Wirksamkeit aller anderen Maßnahmen nicht zuverlässig gewährleistet werden. Hier sind insbesondere bauliche Maßnahmen zu nennen, die die zufällige Zerstörung oder Sabotage des DV-Systems verhindern.

2.3 Personelle Maßnahmen

Diese Vorkehrungen betreffen den Kreis der Personen, die mit dem System arbeiten. Solche Maßnahmen können darin bestehen, daß für verantwortungsvolle Tätigkeiten, wie zum Beispiel die Systemverwaltung, nur absolut vertrauenswürdige Personen ausgewählt werden oder daß das gesamte Personal sicherheitsüberprüft wird. Auch die Durchführung von Schulungsmaßnahmen zum Themenbereich "Sicherheit" ist ein wesentlicher Bestandteil personeller Sicherheitsmaßnahmen.

2.4 DV-technische Maßnahmen

In den meisten DV-Systemen sind bereits Sicherheitsfunktionell realisiert. Sie können je nach Art des Systems sehr unterschiedlich sein. Als Beispiel sei hier die Authentisierung von Benutzern durch das System oder der Schutz von Dateien durch ein Zugriffskontrollsystem genannt.

3. Planung und Einbettung des Schutzes

Da alle Maßnahmen nicht zu vernachlässigende Kosten verursachen, kann nicht allgemein gesagt werden, welche Sicherheitsvorkehrungen in einem konkreten Fall zu treffen sind. Es ist daher erforderlich, den zu erwartenden Nutzen - nämlich den Schutz durch eine bestimmte Maßnahme - zu seinen Kosten in Relation zu setzen.

3.1 Kosten-/Nutzen-Bewertung

Zu einem sinnvollen Schutzsystem gelangt man, wenn es gelingt, Maßnahmen auszuwählen, die bei minimalen Kosten den maximalen Nutzen erzielen. Dabei muß man, um zu realistischen Aussagen zu kommen,

den Begriff "Schaden" in zwei Komponenten zerlegen:

- Die "Schadenshöhe" beschreibt, welche Auswirkungen ein bestimmter Schaden hat, wenn er erst einmal eingetreten ist.

- Die "Schadenswahrscheinlichkeit" gibt an, wie häufig der betreffende Schaden innerhalb eines bestimmten Zeitraumes, etwa eines Jahres, auftritt.

Aus Schadenshöhe und Schadenswahrscheinlichkeit läßt sich dann der durchschnittliche potentielle Verlust berechnen, den dieser Schaden während eines Jahres verursacht. Der Nutzen einer Schutzmaßnahme, die den betreffenden Schaden ausschließt oder seine Wahrscheinlichkeit auf wesentlich niedrigere Werte absinken läßt, ist dann gerade das Negative dieses durchschnittlichen potentiellen Verlustes. Um den Nutzen bestimmter Schutzmaßnahmen abschätzen zu können, ist es erforderlich, eine Risiko-Analyse durchzuführen, die die Einzelwerte für Schadenshöhe und -wahrscheinlichkeit bestimmt und wechselseitige Abhängigkeiten berücksichtigt. Die Praxis hat gezeigt, daß eine solche Analyse schon dann zu recht brauchbaren Ergebnissen führt, wenn man nur realistische Zehnerpotenzen für die Einzelfaktoren zugrundelegt; eine genauere Bestimmung der Faktoren erübrigt sich in den meisten Fällen.

Hat man einmal den Nutzen einer bestimmten Schutzmaßnahme bestimmt beziehungsweise geschätzt, ist es sinnvoll, diesen Wert zu den Kosten der Maßnahme in Beziehung zu setzen. Während sich der Nutzen nach der angewandten Berechnungsgrundlage als eine Größe der Dimension Preis/Zeit ergibt, sind bei den Kosten zwei unterschiedliche Komponenten zu berücksichtigen:

- die einmaligen Kosten der Anschaffung und/oder Installation des Schutzes sowie

- die laufenden Kosten, die durch die Nutzung der Schutzmaßnahme entstehen.

3.2 Personalführung und -struktur

Von größter Bedeutung für die Sicherheit eines DV-Systems und der damit bearbeiteten Informationen sind die Einstellung und das Verständnis der Personen, die mit diesem System zu tun haben, sei es direkt - als Betreiber und/oder Benutzer - oder indirekt - durch die Verantwortung für seinen Betrieb.

Betrachtet man die bekannt gewordenen Fälle von Computer-Kriminalität und sonstigen Schäden in Rechenzentren, so stellt man fest, daß der weitaus größte Teil davon nicht auf fremde Eindringlinge zurückzuführen ist, sondern auf Insider, die ihre Befugnisse überschritten oder mißbraucht haben und auf falsches oder gefährliches Verhalten des Personals. Diese Tatsache zeigt, daß einer der wesentlichsten Faktoren der Datensicherheit das Personal ist, das in der einen oder anderen Weise für die Datenverarbeitung zuständig ist. Es ist daher von besonderer Wichtigkeit, durch geeignete organisatorische Maßnahmen im Bereich der Personalpolitik potentielle Probleme von vornherein auszuschließen.

4. Technische Schutzmaßnahmen

Zum Aufbau einer wirksamen Datensicherung müssen von der Software des Rechners sowohl bei der Aufnahme des Kontaktes zwischen einem Benutzer und dem System als auch beim Zugriff des Benutzers auf die gespeicherten Informationen Kontrollen durchgeführt werden.

4.1 Zugangskontrolle

Die Zugangskontrolle besteht aus zwei Gruppen von Maßnahmen .

- Die Identifikation des Benutzers: Es ist festzustellen, ob der Benutzer dem System bekannt ist und ob ihm überhaupt

das Recht zur Kontaktaufnahme mit dem System zusteht. Diese Überprüfung muß so geschehen, daß das System die tatsächliche Identität des Benutzers und nicht etwa eine nur vorgespielte Identität erfährt. Dies bedeutet, daß die Identifikation einen Authentisierungs-Mechanismus enthalten muß, der dem System eine Überprüfung der vom Benutzer angegebenen Identität ermöglicht.

- Die Autorisierung des Benutzers: Die dem Benutzer zu stehenden Rechte der Systembenutzung sind ihm zuzuweisen.

Diese Rechte werden ihm im allgemeinen von einer hierfür verantwortlichen Person, die als Systemverwalter bezeichnet

wird, aufgrund der auf der organisatorischen Ebene festgesetzten Richtlinien gegeben. Bei der Zuteilung seiner Rechte sind dem Benutzer die ihm zustehenden Funktionen durch den Aufbau einer Benutzer-Umgebung zur Verfügung zu stellen.

4.2 Zugriffskontrolle

Bei der Kontrolle des Zugriffs auf Daten muß man zwischen

den dabei eingesetzten Strategien einerseits und den zu ihrer

Durchsetzung beziehungsweise Realisierung verwendeten Verfahren andererseits unterscheiden. Bei den Strategien unterscheidet man im wesentlichen die beiden Klassen der diskreten Kontrollen und die der globalen Zugriffsmodelle, wobei die ersteren meist von einem Eigentümermodell ausgehen, während die letzteren das Ziel der Durchsetzung organisatorischer Richtlinien haben, die für

alle Eigentümer von Daten bindend sind. Bei nach dem Eigentümermodell strukturierten Zugriffsrechten werden dagegen für jede Information im Rechner ein oder mehrere Benutzer als "Eigentümer" dieser Information betrachtet, und genau diese Benutzer haben das Recht, über die Zugriffsmöglichkeiten darauf zu entscheiden.

4.3 Nachweisführung

Bestimmte Vorkommnisse im System, wie etwa Zugriffe auf

ausgewählte Dateien, abgewiesene Zugriffsversuche, Zugriffe

unter Verwendung von Systemverwalter-Rechten, Eindringversuche über Fernzugriffsleitungen oder ähnliches, können als "auditierbare" Ereignisse in der Autorisations-Datenbasis definiert sein. Tritt ein solches Ereignis ein, so muß das System dies feststellen und einen entsprechenden Eintrag in das Audit-Log machen.

5. Vertrauenswürdige IT-Systeme

Bei der Bestimmung der notwendigen Gegenmaßnahmen kann es erforderlich sein, zusätzliche DV-technische Maßnahmen zu ergreifen, wenn die vorhandenen DV-technischen Maßnahmen nicht ausreichen, um das Risiko im notwendigen Umfang zu verringern.

Die Auswahl eines geeigneten Systems, das die notwendigen DV-technischen Maßnahmen realisiert, kann mit Hilfe der IT-Sicherheitskriterien geschehen. Die IT-Sicherheitskriterien - herausgegeben von der Zentralstelle für Sicherheit in der Informationstechnik (ZSI) - sind Grundlagen für die Bewertung der Vertrauenswürdigkeit von Systemen der Informationstechnik (IT-Systemen). Bei der Evaluation eines IT-Systems nach den IT-Sicherheitskriterien werden die Sicherheitsfunktionen des IT-Systems auf die Erfüllung vorgegebener Sicherheitsanforderungen überprüft.

In den IT-Sicherheitskriterien werden acht sogenannte Grundfunktionen definiert, die zur Klassifizierung von Sicherheitsanforderungen an IT-Systeme geeignet sind. Dies sind die Grundfunktionen:

- Identifikation und Authentisierung

- Rechtverwaltung

- Rechteprüfung,

- Beweissicherung, Wiederaufbereitung,

- Fehlerüberbrückung,

- Gewährleistung der Funktionalität (Fehlervermeidung) und

- Übertragungssicherung

Mit diesen Grundfunktionen kann ein weites Spektrum an Sicherheitsfunktionen abgedeckt werden. In vielen Fällen werden die Anforderungen an die Sicherheitsfunktionen eine IT-Systems so formuliert sein, daß zu ihrer Abdeckung nicht alle Grundfunktionen benötigt werden.

Evaluationen von IT-Systemen werden zur Zeit nur von der Zentralstelle (künftig Bundesamt) für Sicherheit in der Informationstechnik durchgeführt. Es existieren bereits erste von der ZSI evaluierte IT-Systeme. Weitere Systeme werden derzeit evaluiert.

6. Zusammenfassung

Die Verfügbarkeit von Systemen mit erhöhter Sicherheit wird mittelfristig auf die Anwender einen gewissen Zwang ausüben, in sensiblen Bereichen nur noch solche Systeme einzusetzen. Falls sie dies nicht tun, laufen sie im Falle einer Verletzung des Datenschutzes Gefahr, sich mangelnde Sorgfalt vorwerfen lassen zu müssen. Dies wird insgesamt zu einer Erhöhung des Sicherheitsniveaus in der EDV führen.

Es genügt jedoch keinesfalls, nur die Technik zu verbessern, um mehr Sicherheit zu erzielen; vielmehr ist eine bessere Schulung der Systembetreiber und eine konsequente Durchdringung des organisatorischen Umfeldes unerläßlich, wenn man die Wirksamkeit technischen Schutzes garantieren will.

*Elmar Stöcker und Dr. Goswin Eisen sind Mitarbeiter der Industrieanlagen-Betriebsgesellschaft mbH (IABG) in Ottobrunn.

Dr. Gerhard Weck ist Sicherheitsexperte des Kölner Softwarehauses Infodas GmbH und Autor des Standardwerkes "Datensicherheit - Methoden, Maßnahmen und Auswirkungen des Schutzes von Informationen".

Zu diesem Thema veranstaltet die Fachzeitschrift Computer und Recht zusammen mit der Deutschen Anwaltsakademie am 26. Oktober in München ein Seminar unter dem Thema "Gesetzliche Grundlagen und Funktionen der DV-Sicherheit".

Zu den Themenschwerpunkten Datensicherung als Gesetzespflicht, Praxis der Computerkriminalität, Sicherheitsmodelle, organisatorische und technische Vorkehrungen und Schutzmaßnahmen sowie Folgerungen aus dem BDSG referieren Regierungsrat Dr. Eugen Ehmann (Bayerisches Staatsministerium des Inneren), Dipl.-Ing. Elmar Stöcker (IABG) und Dr. Gerhard Weck (Infodas).

Anmeldungen: Deutsche Anwaltsakademie im Deutschen Anwaltsverein e. V., Arndtstr. 43, 5300 Bonn 1, Tel. 02 28/26 07-83, Fax. 02 28/26 07-52, Veranstaltungsnummer: 1.46 S2/90. Teilnehmergebühr für Mitglieder des DAV, 380 Mark; für Nichtmitglieder 560 Mark; einschließlich Mittagessen.