Als hierarchisch geprägte SNA-Netze mit zentraler Ressourcenhaltung noch die maßgebliche Infrastruktur in den Unternehmen bildeten, waren die Daten vor unberechtigten Zugriffen weitgehend sicher. Eine bloße Paßwortabfrage genügte. Wie sich die Zeiten doch ändern. Mittlerweile haben sich in den Unternehmen nicht nur lokale Netze, in denen Daten und Programme verteilt werden, breitgemacht. Firmen aller Branchen öffnen sich momentan vor allem via Internet einer globalen Kommunikation.
Überall ist von Telekooperationen und Telearbeit die Rede, die den Unternehmen eine noch stärkere Öffnung ihrer Netzwerkwelt abverlangen werden. Was bleibt, ist die Befürchtung, daß sich damit auch für Hacker und Industriespione das Unternehmensnetz gleich einem Scheunentor öffnet.
Obwohl keine genauen Zahlen existieren, die den Schaden in den Unternehmen durch mangelnden Schutz von Daten und Systemen ungefähr beziffern, dürften die Verluste jährlich in die Milliarden gehen. Auf 450000 Dollar beziffert das FBI im Schnitt die Folgen eines spionagemotivierten Datendiebstahls. Denn schnell sind marktstrategische Informationen wie Entwicklungsdaten, Cashflow-Analysen, betriebswirtschaftliche Datenmodelle und Bilanzen betroffen. Laut einer US-Studie mußten rund 30 Prozent der befragten Unternehmen bisher Angriffe von außen verzeichnen. Die tatsächliche Lage wird noch schlimmer aussehen, da viele Attacken zunächst gar nicht bemerkt werden. Denn kennt der Hacker oder Industriespion erst einmal eine Lücke im Netz, wird ihn nichts davon abhalten, immer wieder Informationen und Systeme anzuzapfen, zumal die rechtliche Hemmschwelle eher niedrig liegt. So wird der Informationsklau in Deutschland vom Gesetzgeber bis heute noch nicht eindeutig als Industriespionage definiert. Doch selbst wenn sich der Gesetzgeber dieses Sachverhalts intensiver annehmen sollte: Die nationale Rechtsprechung droht in der Verflechtung einer globalen Kommunikation zunehmend unterzugehen.
In dieser Situation liegt die Sicherheit von Informationen und Ressourcen buchstäblich in den Händen der Unternehmen.
Doch die sind oft im Zuge der Anpassung ihrer IT-Strukturen an die neuen Kommunikations- und Verarbeitungsanforderungen zu sehr mit der Stabilität ihres Informationssystems beschäftigt, als daß sie sich diesem Thema ausreichend widmen könnten. Eine Aufgabe ohne Ende, wie es aussieht. Denn seit Intranets in den Firmen buchstäblich aus dem Boden schießen, werden die funktionalen Beziehungen nach innen und außen für die Netzverantwortlichen immer undurchsichtiger. Damit wird die in vielen Firmen unkontrollierte kommunikative Öffnung zu einer offenen Flanke.
Nur an der Absicherung vitaler Informationen und überlebenswichtiger Systeme werden die Unternehmen über kurz oder lang nicht vorbeikommen. Die Uhr tickt bereits. Wie steht es in diesem Zusammenhang um die Sicherheitswerkzeuge? Die Verschlüsselung von Daten ist ein Hebel, um wichtige Informationen abzusichern. Hier existieren entsprechende leistungsfähige Verfahren. Man unterscheidet symmetrische und asymmetrische Methoden. Symmetrische Systeme verwenden für die Ver- und Entschlüsselung den "gleichen" Schlüssel - weshalb dieser auf jeden Fall geheimgehalten werden muß (Secret Key). Beim asymmetrischen Verfahren wird für die Chiffrierung ein anderer Schlüssel verwendet als für die Dechiffrierung. Selbst wenn einer bekannt ist (Public Key), bleibt der zweite Schlüssel geheim. Natürlich bietet der Einsatz zweier Schlüssel dem Anwender mehr Sicherheit.
Geheime Keys nicht übers Netz
Der bekannteste Vertreter des Secret-Key-Prinzips ist DES (Data Encryption Standard) vom National Bureau of Standards (NBS). Die Chiffrierungslogik nach dieser Methode ist so komplex, daß man statistisch gesehen bei einer Rechengeschwindigkeit von einer Million Schlüssel pro Sekunde 2285 Jahre benötigen würde, um alle möglichen Varianten zu berechnen.
Das bekannteste Public-Key-Verfahren ist RSA (nach seinen Erfindern Ravest, Shamir und Adleman). Weil in diesem Fall der öffentliche Chiffrierungscode von einer Schlüsselverteilzentrale vergeben wird, der Dechiffrierungscode aber nur der Empfängerstation bekannt ist, müssen geheime Keys erst gar nicht übers Netz übertragen werden.
Dennoch sollte die Verschlüsselung nur für besonders sensible Informationen eingesetzt werden: Denn so aufwendige Methoden wie DES und RSA belasten Rechner und Bandbreite und bremsen damit den Nettodatenverkehr. Dieser Durchsatzverlust läßt sich nur dadurch einigermaßen kompensieren, daß die Ver- und Entschlüsselung vorwiegend in Hardware realisiert wird und entsprechend ein gesonderter Prozessor die aufwendige Arbeit übernimmt. Kein billiger Ansatz: Eine solche Lösung kostet pro Endgeräteanschluß zwischen 3000 und 5000 Mark. Darüber hinaus gewährt das US-Verteidigungsministerium aus Gründen der staatlichen Sicherheit keinen Einblick in diese Verschlüsselungstechnik. Viele Unternehmen sehen darin jedoch einen Eingriff in ihre innerbetrieblichen Angelegenheiten.
Es gibt allerdings ein weiteres Manko beim Einsatz von Verschlüsselungssystemen: Wenn beispielsweise einer seine elektronische Post mit "öffentlichen" RSA-Schlüsseln (128 Bit Schlüssellänge) chiffriert, der andere jedoch "geheime" DES-Schlüssel (64 Bit Schlüssellänge) austauscht und wieder andere ihre ganz individuelle, nicht standardisierte Schlüsseltechnik einsetzen, kann der Informationsaustausch letztlich nur auf der Strecke bleiben. Immerhin deutet sich mit der Ausrichtung von RSA auf die Sicherheitsdefinition X.509 als Teil des X.500-Verzeichnisstandards allmählich ein übergreifender Standard für die Codierung von Daten ab.
Damit werden Zugriffskontrollmechanismen auch weiterhin das wichtigste Instrumentarium sein, um Informationen und Systeme vor Eindringlingen weitgehend zu schützen. In der ersten Etappe - an der Weitverkehrs-Schnittstelle - hilft das Router-System, als Firewall konfiguriert, über Paketfilter unerwünschte Zugriffe zu verhindern. So kann über die Filtertechnik des Routers nicht nur der Verkehr bestimmter Netzwerkprotokolle ausgenommen, sondern auch in Hinblick auf unterschiedliche Dienste gefiltert werden. Eine noch effektivere Strategie besteht darin, ein Dual-homed Gateway einzurichten. In diesem Fall wird das eingehende Netzwerkprotokoll, beispielsweise TCP/IP, vom Dual-homed Gateway nicht geroutet, so daß kein Fernzugriff auf die Unternehmensressourcen möglich ist. Statt dessen vermitteln einzelne Dienste mittels sogenannter Proxies die Verbindung zwischen zulässigen Kommunikationspartnern. Besonders wirkungsvoll ist diese Lösung schon deshalb, weil sich in den Proxies Zugriffs- und Login-Mechanismen implementieren lassen, die bei jeder Kommunikationsanforderung durchlaufen werden müssen. Oder das Unternehmen richtet zwischen der Weitverkehrs-Schnittstelle und dem lokalen Netzwerk ein gesondertes Kommunikationsnetz ein, in dem nur die für die Fernkommunikation erforderlichen Rechner stehen. Auch in diesem Fall ist der Eintritt ins Firmennetz nur nach dem Durchlaufen individuell ausprägbarer Prüfmechanismen gestattet.
Darüber hinaus gibt es an der Weitverkehrs-Schnittstelle weitere Zugriffsschutzmechanismen, die es erlauben, systemtechnische Barrieren vor Hackern und Industriespionen aufzubauen: etwa Chap (Challenge Handshake Authentication Protocol), Tacacs (Terminal Access Controler Access Control System) und Radius (Remote Authentication Dial-in User Server).
Der Chap-Sicherheitsmechanismus wird über das Standardprotokoll PPP (Point-to-point Protocol) realisiert und gehört heute zum Repertoire der meisten Access-Systeme wie Router, Brücken und Access-Server. Chap überprüft beim Aufbau einer Verbindung, ob das Endgerät kommunizieren darf. Dazu sendet es an das Endgerät eine zufallsgenerierte Zahlenfolge (Challenge), mit der dann vom Benutzer die Verschlüsselung des Paßworts und des Benutzernamens initiiert wird. Danach werden beide in codierter Form an das Access-System übertragen, wo die Prüfung der Zugriffsberechtigung erfolgt. Die generierte Zahlenkette des Challenge ändert sich mit jedem Verbindungsaufbau.
Müssen viele User mit unterschiedlichen Benutzerprofilen verwaltet werden, hilft die Kombination aus Tacacs-Server und Chap weiter. Zudem können mit dieser Kombination Verbindungsgebühren genau nachvollzogen und die Kosten einzelnen Kostenstellen zugewiesen werden. Der Ablauf: Das Access-System leitet alle Kommunikationsanforderungen an den Tacacs-Server weiter, der jetzt den Challenge generiert und an die zugreifende Station überträgt. Der Rest läuft wie bei Chap ab. Die Zugriffsberechtigungstabellen werden dazu vom Tacacs-Server an das Access-System übertragen, wo die Prüfung des codierten Paßworts erfolgt.
Individuelle Zugriffsregeln definierbarDie Radius-Methode geht in puncto Sicherheit weiter. Für jeden Kommunikationsteilnehmer lassen sich individuelle Zugriffsregeln definieren. So ist es möglich, einzelne Anwender gezielt von der Kommunikation über bestimmte Netzwerkprotokolle auszuschließen oder bestimmte logische Netzwerkadressen als Ziele auszugrenzen. Oder der Kommunikationsweg wird fest zu einem bestimmten LAN oder Rechner konfiguriert, so daß der User erst gar nicht mit anderen Netzteilnehmern kommunizieren kann.
Noch sicherer wird die Kommunikation abgeschottet, wenn man die Tacacs- oder Radius-Server-Lösung mit der Funktionalität einer Secure-ID-Karte kombiniert. Dann wird der Zugriffsschutz bis auf Anwendungsebene ausgedehnt. Dazu wird am Bildschirm des Anwenders ein "Token" - ein numerisches Eingabefeld - sichtbar, auf dem der User nur noch seinen vierstelligen Pincode eingeben muß. Alles andere wird dann in Verbindung mit dem Tacacs- beziehungsweise Radius-Server im Hintergrund abgewickelt. Auch die zufallsgenerierte Zahlenkette, um jeweils das Paßwort oder die Kombination aus Paßwort und Benutzerwort zu verschlüsseln, wird dabei nicht mehr am Bildschirm eingeblendet. Der Vorteil der Karte: Unberechtigte Zugreifer kommen bei ihren Anwählversuchen gar nicht erst ins Netz.
Allerdings sollte das Unternehmen auch den internen Zugriffsschutz nicht vernachlässigen. Trotz globaler Öffnung: Die größte Gefahr droht immer noch von innen. Hier sind es vor allem eine Vielzahl von Paßwörtern, die die interne Zugriffssicherheit untergraben. Das Szenario: Zunächst muß sich der Benutzer gegenüber seinem PC authentifizieren. Dann erfolgt der Einstieg ins Netzwerk-Betriebssystem mit einem anderen Paßwort. Bewegt sich der User zudem innerhalb einer betagten Netzwerk-Betriebssystem-Welt wie Netware 3.x, darf er sich mit zusätzlichen Paßwörtern auf jedem Server einzeln anmelden. Hinzu kommen E-Mail-, Host-, Client-Server- und andere Logins mit jeweils gesonderten Paßwörtern. Außerdem sollte jedes Paßwort aus Sicherheitsgründen alle vier Wochen geändert werden. Um diesem Dilemma zu entgehen, zieht es der Benutzer deshalb vor, so wenig Paßwörter wie möglich zu verwenden. Auch der Weg, dem Benutzer die aufwendigen Logins mittels Scripting-Modellen abzunehmen, erwies sich schnell als nicht sinnvoll, blieb doch mit den Scripts auch die Sicherheit auf der Strecke.
In dieser Situation wird zunehmend der Ruf nach einem Single Login laut, mit dem sich auf alle bereitgestellten Informationen und Systeme des Netzes zugreifen läßt. Allerdings ist die Umsetzung schwierig, stellen sich dem Single Login mit unterschiedlichen Systemwelten doch proprietäre Namens-, Verzeichnis- und Sicherheitssysteme in den Weg. Dennoch sind bereits erste Ansätze für ein einmaliges Anmelden im gesamten Netz zu erkennen. Wichtig dazu ist, daß ein systemübergreifendes Verzeichnissystem zum Einsatz kommt. Denn nur über ein hierarchisch gestaffeltes Directory lassen sich die einzelnen Benutzer im Unternehmensnetz eindeutig identifizieren. Zusätzlich ist es erforderlich, daß im Hintergrund mit einem sogenannten Broker-Modell gearbeitet wird - was beispielsweise bei Windows NT der Fall ist. Das Problem dabei: NT hat kein Verzeichnissystem aufzuweisen und ist damit für einen Single Login ungeeignet.
Anders sieht es bei Novell Netware ab Version 4.1 und bei Vines beziehungsweise ENS von Banyan Systems aus, die mit NDS (Netware Directory Services) respektive Streettalk über ein vollwertiges Directory-System verfügen. Doch auch hier bleiben Lücken. Zwar ist es möglich, NDS und Streettalk in andere Systemwelten zu integrieren. Doch viele wichtige Systemwelten - Stichwort: Main- frame, werden dabei in naher Zukunft ausgespart bleiben.
Ein systemübergreifender Single Login über unterschiedliche Verzeichnis- und Sicherheitssysteme hinweg kann deshalb nur über offene Schnittstellen bewerkstelligt werden. Mit dem Zugangsprotokoll LDAP (Light Weight Directory Access Protocol) deutet sich ein Standard für die Kommunikation zwischen verschiedenen Verzeichnissen ab. Dennoch ist mit LDAP die Tür zu einem Single Login erst ein Stück weit geöffnet. Zwar lassen sich damit beispielsweise Attribute zu Benutzern, Informationen und Systemen austauschen sie können jedoch damit noch nicht innerhalb des Verzeichnisses einzelnen Benutzern und Objekten zugewiesen werden.
Auch für die Kommunikation zwischen unterschiedlichen Sicherheitslösungen zeichnet sich mit X.509 aus der X.500-Welt allmählich eine offene Schnittstelle ab. Auf den sicheren Komfort eines netzübergreifenden Single Logins, der dann etwa auch per Finger- oder Handabdruck beziehungsweise via Spracherkennung oder einen Netzhaut-Scan funktionieren könnte, werden die Unternehmen trotzdem noch einige Jahre warten müssen. In der Zwischenzeit heißt es für die Hersteller, weiter an Standards für Verzeichnis- und Sicherheitsdienste zu arbeiten.
ANGEKLICKT
Noch kämpfen die Unternehmen mit der Öffnung ihrer Kommunikationssysteme für Standards und externe Netzdienstleistungen beispielsweise über das Internet. Noch sind sie im wesentlichen damit beschäftigt, die neuen Verfahren und Prozesse einzuschleifen und zu stabilisieren. Da müßten sie eigentlich parallel die Sicherheitsprobleme, die diese Öffnung mit sich bringt, in den Griff bekommen. In vielen Fällen, so legen es Untersuchungen des amerikanischen FBI nahe, gelingt dies nicht. Datenspione machen sich die zahlreichen neuen Schlupflöcher der häufig recht unvollkommenen Sicherheitskonzepte dieser Unternehmen zunutze. Der Autor konzentriert sich auf das Single-Login-Verfahren als Methode der Wahl.
*Andreas Martin ist Geschäftsführer der Comet Gesellschaft für Kommunikations-Dienstleistungen mbH in Idstein.