Betrachtet man die realisierten Kommunikationsverbindungen zwischen Hosts und PCs, so wird man feststellen, daß in einem Großteil der Fälle der Host nicht darüber informiert ist, daß er mit einem PC anstelle eines "dummen" Terminals verbunden ist. Zur Vereinfachung der Darstellung wird nachfolgend ein solches "dummes" Terminal einfach als Terminal bezeichnet.

Hosts, die üblicherweise sehr genau über die Charakteristiken der angeschlossenen Endgeräte informiert sind, wird ein Terminal über eine Emulation vorgegaukelt. Dies gilt selbst in den Fällen, in denen PC-Charakteristiken zum Beispiel für Zwecke eines Filetransfers ausgenutzt werden.

Diese Erkenntnis mag anfänglich verwundern, jedoch stecken mehr oder weniger naheliegende Gründe dahinter. Auf der einen Seite bildet der Einsatz einer solchen Emulation eine einfache Migrationsmöglichkeit. Sie erlaubt es, Terminals gegen PCs auszutauschen, ohne die Host-Software modifizieren zu müssen oder zu beeinflussen. Die Terminal-Emulation simuliert dem Host gegenüber weitgehend den Typ des Terminals, das der PC ersetzt hat.

Auf der anderen Seite ist zu bedenken, daß die Produktlinien von Hosts und PCs selbst dann weitgehend getrennt sind, wenn beide innerhalb einer Firma angesiedelt sind. Dies bringt Kommunikationsprobleme mit sich, die nur bedingt technischer Art sind. Als letzter Grund mag hier angeführt sein, daß PC-Innovationszyklen signifikant geringer sind als die Innovationszyklen von Hosts.

Zwei Standardvarianten solcher traditionellen PC-Host-Anbindungen sind in Abbildung 1 dargestellt:

Abbildung 1 beschreibt die Anbindung eines Terminals oder PCs über eine Systemeinheit, die je nach Systemumgebung als Terminalkonzentrator oder Steuereinheit bezeichnet wird. Die Anbindung des Terminalkonzentrators an den Host kann dabei lokal oder entfernt erfolgen.

Abbildung 2 beschreibt eine alternative Anbindungsmöglichkeit. Ein PC kontrolliert hier die Host-Schnittstelle direkt ohne Zwischenschaltung eines Terminalkonzentrators. Er emuliert damit ein Terminal und einen Terminalkonzentrator oder in anderen Systemumgebungen ein Terminal, das einen direkten Host-Anschluß ohne Konzentrator oder Steuereinheit erlaubt.

Was sind nun die wichtigsten Charakteristika, die ein PC, nicht aber ein Terminal besitzt, die dem Host, seinem Betriebssystem und seinen Subsystemen verborgen bleiben? Welche davon sind sicherheitsrelevant? Welche können zur Beeinträchtigung der Sicherheit mißbraucht werden? Welche können zur Erhöhung der Kommunikationssicherheit ausgenutzt werden?

Da ist zum einen zu nennen, daß PCs über eigene interne und externe Speicher verfügen, die weitestgehend der Kontrolle des Endbenutzers unterliegen. Die Speichergrößen nehmen dabei Dimensionen an, die vor nicht allzu langer Zeit für größere Host-Systeme reserviert waren. Selbst Terminals besitzen zum Teil heute interne oder sogar externe Speicher, jedoch sind diese dann vom Endbenutzer nicht direkt nutzbar beziehungsweise kontrollierbar.

Das andere wichtige Charakteristikum eines PCs ist, daß er einen Prozessor besitzt, der vom Endbenutzer frei programmiert werden kann. Auch Terminals haben heutzutage oft eigene Prozessoren, sind jedoch nicht vom Endbenutzer zu programmieren.

Faßt man die Möglichkeiten zusammen, die sich durch benutzerkontrollierbare Prozessoren und Speicher ergeben, so kommt man zu einer anderen wichtigen Eigenschaft: Datenströme, die ein Host auf den zugeordneten Bildschirm schicken will, können vom PC auf seine Speichermedien umgeleitet werden. Umgekehrt können Daten, die der Host als über die Tastatur erzeugt erwartet, auf vielen anderen Wegen generiert werden.

Mängel der Host-Systeme laden zum Mißbrauch ein

Die aufgezeigten PC-spezifischen Charakteristika sind nun in doppelter Hinsicht sicherheitsrelevant. Sie können von Unbefugten ausgenutzt werden, um Schwächen der Host-Systeme, insbesondere in den Bereichen Identifikation und Authentisierung, auszunutzen. Sie können aber auch von einem Hersteller oder einer Installation ausgenutzt werden, um die bestehenden Schwächen der eingesetzten Systeme zu kompensieren.

Der erste Teil der Darstellung soll der Ausnutzung von Schwächen der Host-Systeme gewidmet sein. Dabei sind neben rein technischen Schwächen des Hosts, also Mängel der eingesetzten Mechanismen, auch jene Schwächen zu berücksichtigen, die aus Nachlässigkeiten im organisatorisch-technischen Bereich herrühren.

Konventionell erfolgt die Identifizierung gegenüber dem Host durch eine Benutzerkennung, die Authentisierung über ein Paßwort. Standardmäßig ist es möglich, einen Benutzer vom System sperren zu lassen, wenn über eine mehrfache falsche Paßworteingabe hintereinander ein Eindringversuch erkannt wird. Im Zusammenhang mit PCs sind solche Mechanismen in mehrfacher Hinsicht bedenklich. Sie arbeiten nur benutzerorientiert, nicht auch stationsorientiert. Listen von Benutzerkennzeichen sind relativ frei zu gänglich. Mit Hilfe eines PCs ist es möglich, zu einem ausgewählten Paßwort-Kandidaten einen zugehörigen Benutzer zu suchen und gegebenenfalls zu finden. Die Standard-Mechanismen der Hosts erkennen einen solchen Eindringversuch nicht, können ihn also auch nicht verhindern. Ein solcher Angriffsversuch wird dadurch unterstützt, wenn sofort nach einer falschen Paßworteingabe das System einen neuen Versuch erlaubt.

Wenn überhaupt, so erlauben es Host-Systeme nur System-Exits, also installationsspezifischen Programmteilen, eine beispielsweise exponentiell ansteigende Verzögerung nach falscher Paßworteingabe zu erzeugen. Auch die Blockade eines Benutzerkennzeichens nach mehrmaligen falschen Paßworteingaben hat ihre Tücken. So ist es damit einem Unbefugten möglich, von einem PC aus mit Hilfe einer programmgesteuerten Anmeldeprozedur in sehr kurzer Zeit alle "verfügbaren" Benutzerkennzeichen zu blockieren.

Die Möglichkeit, für den Bildschirm bestimmte Datenströme innerhalb eines PCs abzugreifen und zum Beispiel auf einem externen Medium zu speichern, kann dazu führen, daß zugestandene Rechte und ihre Auswirkungen völlig neu interpretiert werden müssen.

Dies soll an einem Beispiel erläutert werden: Gesteht man einem Benutzer zu, Datenbestände zu lesen, so kann ein solcher Benutzer von einem PC aus diese Datenbestände in ihrer Gesamtheit auf externe PC-Speicher kopieren - sofern man ihm solche Speicher verfügbar macht. Wichtig ist dabei, daß der Host einen solchen Kopiervorgang durch spezielle Software nicht unterstützen muß.

Die Host-Software kann nicht entscheiden, ob ein harmloser Benutzer an seinem Terminal in einer Datei blättert ("browse") oder ob jemand die Datei auf eine PC-Diskette kopiert. Dies gilt zumindest für die Host-Software in ihrer traditionellen Auslegung.

Das Beispiel läßt sich jedoch in die Reihe jener Beispiele einreihen, bei denen man mit KI-Systemen die Sicherheit von Systemen erhöhen kann. KI-Systeme, zum Beispiel als Auditing-Systeme eingesetzt, sind in den Blickpunkt des Interesses gelangt.

Sie bilden im Bereich der Entdeckung und der Abwehr von Eindringversuchen mächtige Hilfsmittel, die den Mechanismen klassischer Systeme weit überlegen sind. Zwar ist der Einsatz solcher Systeme zur Zeit auf einen exklusiven Anwenderkreis beschränkt, jedoch ist für absehbare Zukunft zu erwarten, daß solche Systeme auch für den breiten kommerziellen Einsatz verfügbar gemacht werden.

Die Betrachtung von Anbindungsformen, die ins Schema der Abbildung 2 passen, werfen andere Aspekte auf. Es ist eine derjenigen Anbindungsformen, die sogleich Assoziationen mit dem "Lonely Hacker" wachrufen, der nachts von seinem Homecomputer oder PC aus durch die Computernetze dieser Welt stöbert.

Eine wichtige Eigenschaft dieser Anbindungsform ist die Kontrolle der physischen und logischen Kommunikationsschnittstelle. Um im Bild des externen Hackers zu bleiben, soll zur Veranschaulichung des Gefahrenpotentials der Zugang über das Fernsprechwählnetz erfolgen. Zwar hat diese Zugangsform in Deutschland nicht die Bedeutung, die sie in den USA erfährt, jedoch sind die auftretenden Effekte erwähnenswert.

Da ist jener Effekt zu nennen, der im englischen Sprachgebrauch als "Trailgaiting" bezeichnet wird. Von der alltäglichen Sprachkommunikation ist bekannt, daß eine Telefonverbindung erst dann beendet ist, wenn der Anrufer aufgelegt hat. Übertragen auf die Datenkommunikation bedeutet dies, daß simple Dial-Back-Verfahren ihren Zweck verfehlen, wenn der Anrufende ein PC ist, der seine Netzschnittstelle so manipuliert, daß die Telefonverbindung nicht unterbrochen wird. Abhilfe steht bereit: Für die abgehenden Wählverbindungen des Hosts müssen andere Leitungsanschlüsse benutzt werden wie für die ankommenden.

Da ist auch jener Effekt zu nennen, daß man von einem PC aus in sehr kurzer Zeit viele Telefonnummern anwählen und darauf abprüfen kann, ob der bekannte 2100-Hertz-Erkennungston einen Modemanschluß signalisiert. Zwar gibt es technische Maßnahmen, die dafür sorgen, daß Modemanschlüsse verschleiert werden. Jedoch ist hierfür die Unterstützung durch den Modemlieferanten erforderlich, das heißt, dies ist auf deutsche Verhältnisse nur bedingt übertragbar.

Ein bestehender Anschluß ist nicht zu verdecken

Lösungen sind hier jedoch einfach. Sie liegen vorwiegend im organisatorisch-technischen Bereich. Man kann zum Beispiel darauf achten, daß das System solche Anschlußmöglichkeiten nur bereithält, wenn dies wirklich erforderlich ist. Host-Systeme bieten heutzutage die Möglichkeit, zeitgesteuerte Kommandoprozeduren für Bedienerkommandos zu implementieren. Die in Aussicht gestellte einfache Lösung ist jedoch: Man soll bei der Auslegung von Sicherheitsmechanismen und vorkehrungen nie darauf vertrauen, daß das Bestehen eines Anschlusses verdeckt werden kann.

Neben den hier beschriebenen Anbindungsformen über eine Terminal-Emulation existieren Produkte, die eine Disk-Emulation realisieren. Diese erlauben dann einen einfachen Datenaustausch zwischen Host und PC. Auf diese Emulationsmöglichkeiten soll hier nicht näher eingegangen werden.

Neben den einfachen Anbindungsformen, die in den Abbildungen 1 und 2 beschrieben sind, werden auch zunehmend komplexere Anbindungsmöglichkeiten von ganzen PC-Subnetzen über Gateways bereitgestellt. In Abbildung 3 sind zwei der vielen möglichen Implementierungsformen aufgezeigt. Als Mittler zwischen einem PC-Teilnetz und einem Host kommen hier autonome Systeme, Gateways, zum Einsatz. Diese sind in der technischen Realisierung in der Regel selbst PCs. Die PC-Teilnetze sind typischerweise lokale Netzwerke mit ihren bekannten Ausprägungsformen. Der Zusammenschluß von PCs zu einem lokalen Netzwerk ist auch unter Sicherheitsaspekten hochinteressant, jedoch muß auf eine breite Darstellung an dieser Stelle verzichtet werden. Nicht zu vernachlässigen ist jedoch, daß hier ein Gateway als intelligentes System in die Kommunikation miteinbezogen wird. Ein solches Gateway ist eine Komponente, die in einem gesicherten Netzwerk den Status eines "vertrauenswürdigen Systems" haben muß. Dies wird offensichtlich, wenn Authentisierungsinformationen vom PC zum Gateway geschickt weden. So sehr es aus der Sicht des Gesamtnetzes wünschenswert ist daß der Zugang zum Gateway zum Beispiel über Paßwörter abgesichert ist, so sehr sollte aber auch das Augenmerk des PC-Benutzers darauf gerichtet sein, mit wem er wirklich kommuniziert und an wen zum Beispiel Paßwörter im Klartext übermittelt werden.

Diese Überlegungen sollten in dem Sinne verallgemeinert werden, daß man nicht nur die Authentisierung des dahinterliegenden Host-Systems in die Überlegungen miteinbezieht. Das mag in den Ohren von EDV-Verantwortlichkeiten, die in den Kategorien von gesicherten Hosts in gesicherten Umgebungen denken und planen, ketzerisch klingen. Es ist jedoch erforderlich, daß PC-Benutzer auch Eigenverantwortlichkeiten gegenüber den bei ihnen gespeicherten Informationen und damit Werten entwickeln. Zumindest sollte dem Betreiber solcher PC-Netze bewußt sein, daß ein solches Gateway eine Netzwerkkomponente ist, die vor dem Zugriff Unbefugter geschützt werden muß.

Ein anderer wichtiger Aspekt beim Einsatz von Gateways ist die Identifizierung der PCs für den Host. Gateways werden in mehr oder weniger homogenen Netzumgebungen eingesetzt. Eine der Hauptaufgaben eines Gateways ist dabei, Architekturunterschiede zwischen den kooperierenden Teilnetzen auszugleichen. Gateways können benutzt werden, um völlig verschiedene Netzwerkarchitekturen einander nahe zu bringen, sie können aber auch da eingesetzt werden, wo es nur um eine effektive und ökonomische Verwaltung von Netzwerkressourcen wie Leitungen oder auch nur Speicher in Komponenten geht. Zur Veranschaulichung der Problematik soll ein Szenario dienen. An einen Host wird ein PC-Netz über ein Gateway und eine dahinterliegende Kommunikationsleitung angeschlossen.

Geht man nun auf der einen Seite von einem PC-Netz mit vielen Stationen aus, in dem nur gelegentlich Stationen zum Host durchgreifen, und auf der anderen Seite von einem Host, auf dem man nicht gleichzeitig alle für PCs Netzwerkdefinitionen und -ressourcen vorhalten kann oder will, so kann man "Pooling"-Konzepte einsetzen. Ein Gateway, das nach einem solchen Konzept arbeitet, stellt dem Host gegenüber eine beschränkte Anzahl von Terminals oder PCs dar. Will nun ein PC mit dem Host kommunizieren, so wird ihm vom Gateway dynamisch eines jener dem Host bekannten "virtuellen" Terminals aus einem Pool zugeordnet. Die wahre Identität des PCs bleibt dem Host damit verborgen. Einer solchen Implementierung können die Sicherheitsanforderungen von Host-Betreibern entgegenstehen.

Für Zwecke der Zugangskontrolle oder der Beweissicherung kann es durchaus gewünscht sein, neben den Anwendern auch die benutzten Stationen zu identifizieren. Überträgt man diese Aufgabe ganz oder teilweise einem Gateway(-Server), so unterstreicht dies einmal mehr die Rolle eines Gateways als "vertrauendwürdiges System" innerhalb eines in diesem Fall verteilten Netzsicherungs-Systems.

Sichere Kommunikation durch intelligente PCs

Im Zusammenhang mit dem Anschluß von weitgehend autonomen PC-Netzen tritt auch der Aspekt der reinen Terminal-Emulation zunehmend zurück. Tendenziell ansteigend in der Nutzung sind jene Elemente in einigen Netzwerkarchitekturen, die zur Unterstützung von Programm-Programm-Kommunikation geschaffen wurden. Dies sind Architekturelemente, die nicht für die asymmetrische Kommunikationsverbindung zwischen Terminal und Host, sondern für die Kommunikation zwischen gleichberechtigten Partnern (Peer-to-peer) konzipiert wurden. Dies leitet über zu den Betrachtungen, wie die PC-spezifischen Charakteristika ausgenützt werden können, um die Sicherheit eines Netzes zu erhöhen.

Setzt man eine Programm-Programm-Kommunikation voraus, so läßt sich die bei beiden Kommunikationspartnern anzunehmende "Intelligenz" für sichere Kommunikation ausnutzen. Neben Individuallösungen, die für spezielle Anwendungen geschaffen werden, gibt es hier auch weitergehende Ansätze. Dazu gehört insbesondere die Möglichkeit, Sicherheitsfunktionen beziehungsweise die dazugehörigen Mechanismen schon in der Architektur vorzusehen. Das heißt, es können gewisse Kommunikationsinhalte schon in den allgemein festgelegten Protokollformaten und den zugeordneten Kommunikationsregeln festgelegt sein. Das kann ausgenutzt werden, um anwendungsunabhängige Funktionen zum Beispiel für Identifikation und Authentisierung unter Einbeziehung von Mechanismen für Verschlüsselung zu implementieren.

Auch im Rahmen einfacher Terminal-Emulationen lassen sich mit Hilfe von PCs und entsprechender Zusätze stärkere Mechanismen realisieren, als sie herkömmlicherweise eingesetzt werden. Dabei gilt ein Hauptinteresse der Paßwortproblematik. Bei den klassischen Ansätzen besteht der nicht aufzulösende Konflikt, daß schwer zu erratende Paßwörter auch schwer zu behalten sind und daß allein deswegen die Gefahr leichtfertigen Umgangs damit besteht. Nachfolgend wird ein Ansatz beschrieben, diese Problematik zu umgehen.

Mit Einschränkungen sind solche Methoden auch mit Hilfe von Terminals zu realisieren. Einen komfortablen und benutzerfreundlichen Einsatz dieser Methoden können jedoch PCs wesentlich einfacher Wirklichkeit werden lassen.

Die Grundidee dabei ist es, die Authentisierung über Wissen (Paßwort) mit der Authentisierung über Besitztum zu kombinieren. Das, was der Besucher zum Besitz bekommt, ist eine individuell für ihn vorbereitete intelligente Chip-Karte, oder allgemeiner ausgedrückt ein "Token". Damit eine solche Chip-Karte nach Verlust oder Diebstahl nicht mißbraucht werden kann, muß sich der Benutzer gegenüber dieser identifizieren und authentisieren.

Dies geschieht durch ein Paßwort, das in diesem Zusammenhang meist als Personal Identification Number (PIN) bezeichnet wird. In Abhängigkeit von der lmplementierung erfolgt die Eingabe über die PC-Tastatur oder aber - sicherer - über eine eigene Tastatur auf der Chip-Karte. Wichtig ist dabei, daß die Uberprüfung der PIN innerhalb der Chip-Karte erfolgt. Es erfolgt dabei kein Zugriff auf im PC gespeicherte Informationen wie PIN-Listen etc. Das für die Kommunikation mit dem Host verwendete Paßwort wird dann von der Chip-Karte erzeugt. Der Benutzer selbst braucht sein Host-Paßwort nicht zu wissen.

Zur Abwehr von Unbefugten, die an der Leitung das Paßwort "mithören", wird kein statisches, sondern ein dynamisches Verfahren verwendet.

Dazu erzeugt das Host-System eine Zufallszahl. Diese Zufallszahl hat die Funktion eines Schlüssels und wird dazu verwendet - gegebenenfalls in Kombination mit anderen Schlüsseln -, um das Paßwort für die Übertragung zu verschlüsseln. Das Prinzip dazu ist in Abbildung 4 dargestellt.

Die auf diesem Grundschema aufbauenden Mechanismen lassen sich nun in verschiedener Richtung verstärken. In seiner Grundform läßt das dargestellte Prinzip eine mögliche Authentisierung des Hosts außer Betracht.

Man kann die verwendete Chip-Karte auch dazu benutzen, die Zugriffsberechtigung des Benutzers zum PC zu kontrollieren oder ihr Aufgaben für die Schlüsselverwaltung im Rahmen der Verschlüsselung von PC-Daten zu übertragen.

Die Darstellungen sollten zeigen, welche zusätzlichen Bedrohungsformen beim Einsatz von PCs anstelle von konventionellen Terminals bei der PC-Host-Kooperation zu berücksichtigen sind. Sie sollten auch zeigen, daß beim Einsatz von PCs zusätzliche Möglichkeiten bereitstehen, die zur Absicherung der Kommunikation beitragen können.

Die Ausführungen sollten aber auch dazu beitragen, daß die unzähligen Endbenutzer an PCs in Netzwerken verstehen lernen, daß sie Verantwortungsbewußtsein für die ihnen anvertrauten Infomationen entwickeln müssen.

Literatur:

A.Beutelspacher, M. Gundlach, K. MülIer: Sichere PCs und ihre Rolle in Bürokommunikationsystemen, Tagungsband GI/ITG-Workshop '88 Offene Multifunktionale Arbeitsplätze;

R. Bosen, Securing the Micro-Mainframe Link, Proceedings of the Fifth IFIP International Conference on Computer Security, IFIP/Sec I88, pp. 351 - 355;

I. G. Graham, St. H. Wieten: The PC as a Secure Network Workstation, Proceedings of the Fifth IFIP International Conference on Computer Security, IFIP/ Sec. pp. 425 - 437;

E. F. Troy: Addressing the Telephone Intrusion Threat, Proceedings of the Fourth IFIP TC 11 International Conference on Computer Security IFlP/Sec '86, pp. 55 - 65;

Zentralstelle für Sicherheit in der Informationstechnik ZSI: IT-Sicherheitskriterien - Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (IT), Bundesanzeiger ISBN 3-88784-192-1, 1989;

Aus: Heiko Lippold und Paul Schmitz (Hrsg.): Sicherheit in netzgestützten Informationssystemen, Proceedings des Bifoa-Kongresses Secunet '90, Verlag Vieweg, Braunschweig/Wiesbaden 1990, 533 Seiten, 128, - Mark, ISBN 3-528-05105-1