CW: Der in Windows 95 integrierte Online-Dienst hat fuer Schlagzeilen gesorgt. Viele Anwender befuerchten, dass sich Microsoft Zugang zu Unternehmensdaten verschaffen koennte.
Ruland: Momentan verzeichnen wir einen Trend zu Online-Services, Thema Internet. Aber auch das beliebte Outsourcing oder die Wartung von Hard- und Software durch externe Firmen bergen unter Sicherheitsaspekten immense Gefahren.
CW: Die Firmen muessen Kosten einsparen und wollen sich keine teuren Spezialisten leisten.
Ruland: Aber sie geben dabei nicht nur die Verantwortung ab, sondern auch die Kontrolle.
CW: Der externe Zugriff . . .
Ruland: . . . wird in der Regel nicht ueberwacht. Da werden Wartungsanschluesse an Servicefirmen vergeben, diese Leute haben alle Rechte ueber den Rechner. Die koennen nicht nur Parameter einstellen, die kommen auch an alle Daten heran.
CW: Wie koennen sich Firmen gegen Computereinbrueche schuetzen?
Ruland: Auf jeden Fall sollte ein detailliertes Logbuch darueber gefuehrt werden, was am Rechner gemacht wurde. Schon das Fuehren eines genauen Protokolls, Bit fuer Bit, ist oft Warnung genug. Das ist ja auch das erste, was ein Hacker versuchen wird: das Logbuch auszuschalten.
CW: Aber das verhindert die Misere nicht. Helfen Firewalls?
Ruland: In der Kette LAN-Router-oeffentliches Netz, sei es ISDN, Standleitung oder X.25, bieten die Router die Filterfunktionalitaeten. Jeder Router wird jedoch anders gemanagt. Die Funktionen lassen sich nicht zentral und remote verwalten. So ein System muss aber konsistent sein, Tabellen und Logbuecher muessen konsolidiert werden, sonst kollidieren beispielsweise die Zugriffsrechte. Kurz gesagt: Die Funktionalitaet ist meist gegeben, aber das Netzwerk-Management fehlt.
CW: Was waere bei der Kommunikation im Netz eine aktive Sicherheit, und wie kann diese erreicht werden?
Ruland: Zunaechst muss ueberprueft werden, wer kommuniziert, also eine Identifizierung muss stattfinden. Danach erfolgt die Zugangskontrolle: Darf ich ueberhaupt mit diesem Gegenueber, sagen wir, Daten austauschen? Und wenn ich darf, muss ich verschluesseln, oder kann ich im Klartext reden?
CW: Wie laeuft das praktisch ab?
Ruland: Nehmen wir als Beispiel ein Unternehmen, das die Firmenkommunikation ueber das Internet abwickelt. Dann bekommt jede Seite eine Black box zwischen Endgeraet und Netzanschluss geschaltet, die die Sicherheitskriterien beruecksichtigt und die Daten verschluesselt in das oeffentliche Netz speist beziehungsweise die kryptischen Daten entschluesselt.
CW: Wie entwickelt ist denn das Sicherheitsbewusstsein in Deutschland?
Ruland: Besser als noch vor sieben Jahren, als wir unsere Firma gruendeten. Damals interessierten sich nur Kunden dafuer, die etwas fuer die Sicherheit tun mussten. Und es gab einige Firmen, die ihr Image damit aufpolierten.
CW: Und heute?
Ruland: . . . Sieht es besser aus. Einerseits im Behoerdenbereich, weil da sehr viel online erledigt wird. Denken Sie an den Bonn- Berlin-Verbund. Im kommerziellen Bereich hat das Internet fuer mehr Sicherheitsbewusstsein gesorgt. Gemessen an den Schaeden, die bei uns durch Wirtschaftsspionage entstehen, ist das Interesse an derartigen Systemen aber gering.
CW: Dieses Thema ist tabu, darueber spricht man nicht.
Ruland: Obwohl jede grosse Firma schon viel Geld durch Spionage verloren hat.
CW: Das Bundesamt fuer Sicherheit in der Informationstechnik sammelt diese Vorkommnisse?
Ruland: Innenminister Kanther hat angekuendigt, einige Faelle zu veroeffentlichen, aber es bis heute nicht getan.
CW: Nun hat der Staat zwar einerseits ein Interesse daran, seine Wirtschaft zu schuetzen, andererseits wollen Sicherheitsorgane natuerlich die Kommunikation ueberwachen koennen. Wie ist die rechtliche Lage?
Ruland: Bei uns in der BRD sind Verschluesselungsmechanismen generell erlaubt, in Frankreich beispielsweise verboten. In den USA wird die Verschluesselung vom Staat geregelt. Derzeit strebt man eine Harmonisierung der nationalen Gesetze an.
Professor Dr. Christoph Ruland ist Dozent am Lehrstuhl fuer Nachrichtenuebermittlung an der Gesamthochschule Siegen und Geschaeftsfuehrer der Kryptokom GmbH in Aachen.
Mit ihm sprach CW-Redakteurin Kriemhilde Klippstaetter.