Betrifft CW Nr. 48 vom 28. November 1997, Seite 8: "Information Warfare: Spionage blüht" (Gast-Kommentar)
Vollständige Risikoanalyse
Meinen Beitrag zum Information Warfare haben Sie so verändert, daß weder Inhalt noch Tenor meinem Manuskript entsprechen. Inhaltlich ist das vergleichsweise junge Thema Information Warfare so dargestellt worden, als sei es mit den einheitlichen klassischen Risikoanalyse- und Sicherheitskonzepten zu bewältigen. Dies entspricht der Denkweise der 70er Jahre. Es ist heute falsch.
Richtig ist, daß sicherheitsbewußte Unternehmen nur den - ganz offensichtlich allein erfolgreichen - unternehmensübergreifenden Ansatz einer Sicherheitsarchitektur gehen, die alle (!) informationsverarbeitenden Systeme und Netze des Unternehmens (!) umfaßt. Dazu gehört - nur unter anderem - eine vollständige (!) Risikoanalyse: Welche Schwachstellen haben die wichtigsten Verfahren mit den wertvollsten Daten? Dazu gehören notwendig auch Verfahren der Kontrolle und Beobachtung (K&B), der Single Point of Security Control and Administration (SPSC&A) etc. "Sicherheitsarchitektur" ist hier der übliche und zentrale Fachbegriff.
Die Verkürzung auf Ihre Titelformulierung "Spionage blüht" erscheint nicht sachgerecht. Information Warfare betrachtet vielmehr die grundsätzliche und komplexe Abhängigkeit des Unternehmens von der eigenen Informationsverarbeitung und den Dienstleistern bis hin zu Infrastrukturen wie Intranet und Internet.
Dr. Hartmut Pohl, Professor für Informationssicherheit, Fachbereich Angewandte Informatik, Fachhochschule Rhein-Sieg, Sankt Augustin, und Isis - Institut für Informationssicherheit, Essen
Betrifft CW Nr. 49 vom 5. Dezember 1997, Seite 60: "Microsoft zwingt Administratoren zur Eigeninitiative"
Keine Erfindung von Microsoft
Eric Tierling ist als profunder Kenner von Netzwerk-Betriebssystemen und Autor der Novell-Bibeln zu Netware 3.x bis 4.x bekannt. Um so verwunderlicher sind seine Äußerungen zum Thema WINS, wenn er schreibt: "Allerdings besitzt WINS ein großes Manko: Der Namensdienst funktioniert nur dann, wenn im Intranet neben TCP/IP auch Netbeui als Protokoll zum Einsatz kommt."
Diese Aussage ist leider falsch. Netbeui ist eine Implementierung von Netbios, einer von IBM entworfenen Software-Schnittstelle eines APIs, und zwar im wesentlichen eine Implementierung des Netbios-APIs mittels 802.2 LLC. Netbeui benutzt zur Rechneradressierung die MAC-Adresse des Netzwerkadapters. Daher funktioniert es nur in dem Bereich, der durch Repeater und Bridges abgedeckt wird.
Eine andere Implementierung des Netbios-APIs ist in den Internet-RFCs 1001 und 1002 beschrieben und setzt auf den Internet-Protokollen TCP und UDP auf. Diese ist völlig unabhängig von Netbeui. WINS ist die Microsoft-Implementierung des in den RFCs bereits 1987 definierten Netbios-Name-Servers und keine Erfindung von Microsoft.
Volker Lendecke, Dr. Johannes Loxen Service Network GmbH, Göttingen
Fehlerteufel
In der CW Nr. 3 hat leider auf Seite 6 im Beitrag "Wilken integriert Baan-IV-Software" der Fehlerteufel zugeschlagen. Die Ulmer Wilken GmbH beschäftigt 114 Mitarbeiter und nicht 14, wie irrtümlicherweise abgedruckt. Wir bedauern das Versehen.