Offen wie ein Scheunentor muessen selbst herkoemmliche PC-Netze nicht mehr sein. Unix-Derivate zum Beispiel koennen Abhilfe schaffen. Im folgenden vergleicht Wolfgang Weiss* die unterschiedlichen Sicherheitsmechanismen der PC-Betriebssysteme MS-DOS, Unix und Windows NT. Seine Ausfuehrungen basieren auf Praxiserfahrungen aus zahlreichen Projekten.
Ein MS-DOS-PC koennte mit einem geoeffneten Aktenschrank verglichen werden, auf dessen Inhalt jedermann Zugriff hat. Erleichtert wird das Mitnehmen der Daten durch ihre physische Portabilitaet. Die fortschreitende Vernetzung der PCs laesst weitere Zugriffsmoeglichkeiten entstehen. Selbst der wenig versierte PC- Benutzer ist in der Lage, die auf einem PC vorhandenen Daten auf Disketten zu kopieren und spaeter in aller Ruhe auszuwerten. Diebstahl kann auf diese Weise nicht einmal entdeckt werden. Zu verhindern sind diese Aktivitaeten nur durch mechanische Absicherungen des PCs (schluesselgeschuetztes Gehaeuse), zusaetzliche Hilfsprogramme oder organisatorische Massnahmen.
Zugriffsrechte bei Unix-Derivaten und Windows NT
Mit den im zunehmenden Masse auf PCs eingesetzten Unix-Derivaten hingegen kann dieses schnelle Kopieren von Daten auf Diskette durch das Setzen entsprechender Zugriffsrechte sehr erschwert werden. Dies gilt auch fuer Windows NT, das fuer sich in Anspruch nimmt, der Stufe C2 der TCSEC (Trusted Computer System Evaluation Criteria) des US-Verteidigungsministeriums zu genuegen. Neben dem Datendiebstahl kommt es durch Bedienungs- oder Softwarefehler haeufig zu Datenverlusten oder inkonsistenten Datenbestaenden.
Hier soll zunaechst auf die Kriterien und Funktionen eingegangen werden, die einen Vergleich der Sicherheitsmechanismen verschiedener Betriebssysteme ermoeglichen.
Die zur Zeit in Europa relevanten, unter franzoesischer, grossbritannischer und niederlaendischer Beteiligung geschaffenen Sicherheitskriterien ITSEC (Information Technology Security Evaluation Criteria) basieren zum Teil auf den "IT- Sicherheitskriterien" der BSI (Bundesanstalt fuer Sicherheit in der Informationstechnik; siehe auch Artikel auf Seite 54). In den ITSEC werden Funktionalitaetsklassen definiert, in denen verschiedene Sicherheitsanforderungen an die Systeme definiert werden. Beispielsweise entspricht die Klasse F2 der ITSEC der Stufe C2 der TCSEC.
Die TCSEC existieren schon seit 1985; wegen ihres orangefarbenen Einbands werden sie auch als "Orange Book" bezeichnet. Die dort definierten Sicherheitsstufen eines IT-Systems reichen von der Stufe D mit den wenigsten Anforderungen bis zur Stufe A mit den meisten Anforderungen. Innerhalb dieser Skala existieren noch verschiedene Unterstufen. In der Stufe C2, die fuer die meisten kommerziellen Sicherheitsanforderungen ausreicht, wird unter anderem gefordert, dass das Zugriffsrecht fuer Daten personenbezogen vergeben und dass festgehalten werden kann, wer auf welche Daten zugegriffen hat. Unix-Systeme koennen zum Teil mit zusaetzlichen Systemerweiterungen die Sicherheitsstufe C2 erfuellen. Ein Betriebssystem sollte Mechanismen bereitstellen, die den Grundbedrohungen fuer IT-Systeme wie Verlust der Vertraulichkeit und der Integritaet entgegenwirken. Die Mechanismen sollen also einen unbefugten Informationsgewinn beziehungsweise eine unbefugte Veraenderung wie das unberechtigte Lesen, Weitergeben, Veraendern oder Loeschen von Daten verhindern.
In den IT-Sicherheitskriterien wird eine Reihe von Grundfunktionen definiert, die alle Sicherheitsanforderungen eines IT-Systems abdecken sollen. Dazu gehoeren die Funktionen zur Identifikation und Authentisierung, die zur Erstellung, Vergabe und Ueberpruefung einer angegebenen Identitaet gedacht sind. Im betrieblichen Umfeld handelt es sich im wesentlichen um die Vergabe von eindeutigen Benutzerkennzeichnungen (Name und Benutzer-ID) und die Ueberpruefung der Identitaet durch Passwoerter.
Zur Rechteverwaltung zaehlen die Funktionen, die zur Verwaltung und Vergabe der Zugriffsrechte fuer einzelne Benutzer oder Benutzergruppen auf Ressourcen, Prozesse, Programme und Daten gedacht sind. Es ist beispielsweise festzulegen, welche Benutzer eine bestimmte Datei lesen, veraendern oder loeschen duerfen.
Die Funktionen zur Rechtepruefung dienen schliesslich dazu, den Zugriff auf und den Datenfluss zwischen verschiedenen Ressourcen, Prozessen, Programmen und Daten auf ihre Berechtigung zu ueberpruefen.
Die Beweissicherung ermoeglichen die Funktionen, die die Ausuebung sicherheitsrelevanter Rechte protokollieren und zur Untersuchung von moeglichen Verstoessen gegen die Sicherheitsmassnahmen gedacht sind. Mittels solcher Funktionen koennte beispielsweise festgehalten werden, wann und wie oft die fehlerhafte Eingabe eines falschen Passworts erfolgte oder wann auf eine bestimmte Datei zugegriffen wurde.
Zu den Grundfunktionen zaehlen weiterhin Funktionen zur Fehlerueberbrueckung, zur Gewaehrleistung der Funktionalitaet eines IT-Systems und zur Uebertragungssicherung zum Beispiel bei Dateitransfers. Im folgenden wird betrachtet, welche Mechanismen einige Betriebssysteme bereitstellen, um die Grundfunktionen fuer die Identifikation und Authentisierung, Rechteverwaltung, Rechtepruefung und Beweissicherung abzudecken (siehe Kasten auf Seite 44).
Waehrend Netzwerk-Betriebssysteme fuer MS-DOS-PCs wie beispielsweise Novell Netware verschiedene Sicherheitsmechanismen wie die Vergabe von passwortueberprueften Zugriffsrechten anbieten, stellt das fuer den Single-User-Betrieb konzipierte Betriebssystem MS-DOS keine speziellen Mechanismen bereit, um dem Verlust der Vertraulichkeit und der Integritaet von Daten zu begegnen. Dies betrifft nicht nur den Diebstahl von Daten. Unter MS-DOS ist auch das versehentliche Veraendern von Systemdateien moeglich, deren Rueckfuehrung in den urspruenglichen Zustand Zeit und Muehe kosten kann.
Authentisierung mit Hilfe von Chipkarten
Andere Betriebssysteme verhindern hier nicht nur die Veraenderung durch den Benutzer, sondern auch durch vom Benutzer gestartete Programme. Um die Sicherheitsmaengel von MS-DOS zu reduzieren, ist es daher noetig, Zusatzprodukte einzusetzen. Diese bieten zum Teil weitreichende Sicherheitsmechanismen, beispielsweise die Authentisierung mit Hilfe von Chip-Karten und die Moeglichkeit der Verschluesselung von Daten.
Dennoch treten verschiedentlich Probleme etwa bei der Installation und hinsichtlich der Kompatibilitaet auf. Zum Teil koennen die Sicherheitsmechanismen durch MS-DOS-Tools umgangen werden. Im Einzelfall muss also ueberprueft werden, ob ein solches Produkt den Sicherheitsanforderungen des Anwenders genuegt.
Um schnelles Kopieren, aber auch unerwuenschtes Einspielen von Software zu verhindern, gehen viele Unternehmen dazu ueber, PCs ohne Laufwerke einzusetzen. Auf diese Weise koennen dann auch die Sicherheitsmechanismen eines Netzwerk-Betriebssystems genutzt werden.
Die verschiedenen Unix-Derivate sind haeufig noch der Kritik ausgesetzt, was ihre Sicherheit betrifft. Daran sind jedoch weniger ihre Sicherheitsmechanismen schuld als vielmehr der Umgang mit ihnen. Die Absicherung eines Unix-Systems ist schwierig, weil viele voneinander abhaengende Massnahmen getroffen werden muessen. Fuer verschiedene Systeme existieren daher Hilfsprogramme, die potentielle Sicherheitsluecken ueberpruefen.
Zu den bekanntesten Unix-Derivaten fuer PCs zaehlen derzeit Interactive Unix, Solaris oder auch SCO-Unix.
Bei allen diesen Systemen wird die Identitaet der Benutzer ueber Passwoerter ueberprueft, die mit einem Einwegalgorithmus verschluesselt im System gespeichert werden. Bisher ist kein Verfahren bekannt, die urspruenglichen Passwoerter aus der verschluesselten Form zu rekonstruieren. Beim Zugriff auf ein von der Rechteverwaltung verwaltetes Objekt, etwa eine Datei, wird ueber die Benutzer-ID beziehungsweise die der Gruppe, zu der der Benutzer gehoert, ueberprueft, ob der Zugriff gewaehrt werden kann oder nicht.
Dazu wird jeder Datei die ID eines Benutzers und die ID einer Gruppe zugeordnet. Zusaetzlich wird festgehalten, ob dieser Benutzer, diese Gruppe oder alle Benutzer die Datei aendern, lesen oder, wenn es sich um ein Programm handelt, benutzen duerfen.
Da Verzeichnisse bezueglich der Zugriffsrechte wie Dateien behandelt werden, wird nach den gleichen Prinzipien ueberprueft, ob ein Verzeichnis gelesen oder durch das Hinzufuegen oder Loeschen von Dateien veraendert werden darf. Im Unix-System existiert indes ein Benutzer, der sogenannte Superuser, der nicht kontrolliert werden kann.
In verschiedenen Unix-Systemen gibt es darueber hinaus erweiterte Moeglichkeiten der Rechteverwaltung ueber sogenannte Access Control Lists (ACLs), in denen einer Datei mehrere Benutzer oder Gruppen und entsprechende Zugriffsrechte zugeordnet werden koennen. Die Moeglichkeit, versuchte Verstoesse gegen die Sicherheitsmassnahmen oder den Zugriff auf bestimmte Ressourcen zu protokollieren, sind in den meisten Unix-Systemen jedoch beschraenkt. Zugriffe auf einzelne, frei definierbare Dateien lassen sich in den wenigsten Systemen protokollieren.
Windows NT: Sicherheit war ein Entwicklungsziel
Mit zunehmender Verbreitung von Unix-Systemen werden jedoch auch die Sicherheitsmechanismen weiterentwickelt. Fuer viele Unix- Derivate sind beispielsweise die Sicherheitsmechanismen von Distributed Computing Environment (DCE) der OSF (Open Systems Foundation) bereits heute verfuegbar.
Sicherheit war, anders als bei MS-DOS oder Unix, eines der Hauptziele bei der Entwicklung von Windows NT. Fuer die Rechtepruefung ist der sogenannte Object Manager mit Hilfe des Security-Reference-Monitors zustaendig, der die Zugriffe auf Dateien, Prozesse, Systemressourcen und anderes kontrolliert. Die volle Funktionalitaet der Sicherheitsmechanismen von Windows NT wird jedoch nur mit dem Windows NT-File-System NTFS erreicht, nicht mit den ebenfalls unterstuetzten MS-DOS- oder OS/2- Dateisystemen.
Aehnlich wie beim Unix-System wird auch hier die Identitaet des Benutzers, der zu mehreren Benutzergruppen gehoeren kann, ueber ein Passwort ueberprueft. Bei jedem Versuch, eine Datei zu oeffnen, wird kontrolliert, ob der Benutzer oder eine der Gruppen, zu der er gehoert, die Datei lesen, veraendern oder die Zugriffsrechte auf die Datei veraendern darf.
Fuer jede Datei und jedes Verzeichnis existiert ein zugeordneter Benutzer, der Besitzer der Datei oder des Verzeichnisses, und eine ACL, in der beliebige Benutzer oder Gruppen mit den entsprechenden Zugriffsrechten eingetragen werden koennen. Der Besitzer kann die Zugriffsrechte veraendern. Auch in Windows NT gibt es einen Administrator, der fast alles darf. Er kann auch zum Besitzer einer beliebigen Datei werden und diese dann beliebig veraendern.
Es ist jedoch nicht moeglich, eine Datei einem anderen Besitzer zuzuordnen. Der urspruengliche Besitzer ist daher in der Lage, zu ueberpruefen, ob der Administrator auf seine Datei zugegriffen hat.
Mit den Auditing-Moeglichkeiten von Windows NT lassen sich darueber hinaus fuer eine Datei oder ein Verzeichnis saemtliche Zugriffsversuche detailliert protokollieren.
Ob die Sicherheitsmechanismen von Windows NT saemtlichen Angriffen der Hackergemeinde, die sich bisher hauptsaechlich auf Unix-Systeme stuerzen konnte, widerstehen koennen, ist jedoch noch abzuwarten.
Der Einsatz eines bestimmten Betriebssystems garantiert noch nicht die Sicherheit eines PCs. Die Absicherung haengt im wesentlichen von dem Verhalten der Benutzer und den zu den Sicherheitsmassnahmen gehoerenden organisatorischen Massnahmen ab. Erst ein Zusammenspiel all dieser Komponenten ermoeglicht die Realisierung wirksamer Massnahmen gegen den Diebstahl von Daten.