Seit die DV-Strategen als Endgeräte statt dummer Terminals zunehmend PCs einsetzen, wird Zugriffsschutz auf dem Mikrorechner ein immer wichtigeres Thema. Einige Hersteller bieten dafür bereits Passwordverwaltungs-Software an Bernd Menne, DV-Leiter der Stadt werke Düsseldorf, hat einige Produkte auf verschiedenen PCs getestet.

Die zunehmende Verbreitung von Personal- oder Mikrocomputern ist ein Problemfall für die DV-Revisoren, -Organisatoren und Datenschützer Die DV-Revision der Stadtwerke Düsseldorf AG untersuchte den Markt für Standardprodukte und unterzog fünf davon einem Test.

Der Einsatz solcher Geräte, vor allem in Großunternehmen, wirft die Frage auf, wie er in der vorhandenen Organisationsstruktur überhaupt zu planen und zu kontrollieren sei. Die herkömmlichen Methoden, auf dem Großrechner: Genehmigungsverfahren, Funktionstrennung, Vieraugenprinzip und systemimmanente Kontrollen, waren bei den Geräten unter MS-DOS (IBM-Rechnern und Kompatiblen) nicht abzudecken. Weder zwingende Logon-Prozeduren noch Protokollierung sind bei diesem Betriebssystem vorgesehen. Das hat sich auch in der Version 3.2, die in weiten Teilen diesem Test zugrundelag, nicht geändert. Eine Datenträgerverwaltung, besonders für die in jeder Jackentasche problemlos zu transportierenden Disketten, ist nicht durchführbar.

Als die entscheidenden Problemfelder anzusehen sind die Fragen der Sicherheit und Nachvollziehbarkeit, aber auch die Suche nach Möglichkeiten, die Mikros einem organisatorischen Gesamtkonzept unterzuordnen und damit das Vieraugenprinzip in die Abläufe zu integrieren.

Die Forderung des Datenschutzes nach kaufmännischer Ordnungsmäßigkeit und die Frage nach dem wirtschaftlichen Einsatz verlangen Kontrollmöglichkeiten, die mehr sind als Dienstanweisungen, deren Einhaltung in letzter Konsequenz nicht nachprüfbar ist.

Bei Verbindungen zwischen Großrechner und PC muß der PC gleicher maßen geschützt werden wie beim Stand-alone-Einsatz. Zusätzlich ergibt sich die Notwendigkeit, den Host gegen unbemerkt veränderte oder hinzugefügte Daten abzuschotten. Man denke zum Beispiel an Computerviren, fehlerhafte Prozeduren oder hinzugefügte Datensätze. Der Datenaustausch und die Kommunikation mit dem Host können zwar sinnvoll auf der Großrechnerseite kontrolliert werden; diese Schutzmechanismen lassen sich aber auf den MS-DOS-Bereich nicht übertragen.

Die Benutzung durch mehrere Mitarbeiter wirft das Problem auf, funktionale Abgrenzungen untereinander vorzunehmen, ohne bei jedem Wechsel den gesamten Programmund Datenbestand für den einzelnen zu portieren. Mitunter kommen, etwa bei der Datenerfassung über Konsole, Personen zum Einsatz, die den vollen Funktionsumfang des Gerätes nicht beherrschen sollen. Gerade in diesem Personenkreis sind aber häufig diejenigen zu finden, die schwerwiegende Störungen, auch Daten- und Programmverluste, verursachen. Zuletzt muß dem Kreis der nicht autorisierten Benutzer im Unternehmen, aber auch Werksfremden Beachtung geschenkt werden, die sich Zugang zu den Geräten verschaffen können.

Unter diesem Gesichtspunkt ist ein besonderes Merkmal der PC-Szene nämlich die außerordentlich hohe Verfügbarkeit der Standardsoftware und der gute Informationsgrad der "Outsider", sehr wesentlich für die Möglichkeiten von Sicherheitsverletzungen.

Zentrale Planung und Pflege notwendig

Außerdem fordert eine Verhinderung unwirtschaftlicher, organisatorisch sinnloser Mehrfachpflege oder die Anlage von Datensammlungen eine Vergabe von Erlaubnisprofilen an zugelassene Benutzer. Hier kann man ebenfalls eine Antwort in der zentralen Planung und Pflege solcher Systeme sehen.

Eine große Anzahl von Problemen laßt sich mit Sicherheit durch die Festlegung des räumlichen und personellen Umfeldes und durch organisatorische Maßnahmen wie Verschluß der aktiven Softwaretools, Auslagerung, also Entfernung der Daten aus dem Rechner und physische Zugangsbeschränkungen lösen.

Da die Prüfung der obengenannten Kriterien im Aufgabenbereich der Revision liegt, wurden die Auswahl und der Test auch durch die DV-Revision vorgenommen.

Wir prüften auf IBM-AT-02-, Commodore-PC-AT (PC40)- und Altos-1086-Rechnern, auf den beiden erstgenannten unter MS-DOS 3.0 beziehungsweise 3.2 und auf dem letzteren unter Xenix 3.0. Weil Xenix per se über Benutzer- und Paßwortverwaltung sowie Log-Protokoll-Funktionen verfügt, wurde eine Prüfung von Fremdprodukten für diesen Bereich nicht vorgenommen.

Die von uns eingesetzten Produkte waren für MS-DOS: Oculis und Clavis von der IBM GmbH in Frankfurt Safe-Men von UTI-Maco, PC + Softlock von der PCplus GmbH, die Enigma-Karte von Add-Inn und Hetrolock von Hetron, alle aus München.

Unter Xenix wurden die Bedingungen der Sicherheitseinrichtungen zusätzlich im Netzwerk (mit Altos-Team-Net) getestet. Hierbei konnten wertvolle Erfahrungen über den Wert von Zugriffsschutzsystemen beim Netzeinsatz gesammelt werden, ein Punkt, der auch bei MS-DOS-Rechnern (lokale Netzwerke) große Bedeutung hat. Die Parallele zu ziehen, ist legitim, obwohl sich Altos-Team-Net wie ein Rechnerverbund und nicht (nur) wie ein Netzwerk verhält.

Xenix-Installationen auf dem Prüfstand

Die Betrachtung des Betriebssystems Xenix war unter anderem deshalb wichtig, weil es auch auf Rechnern der AT-Klasse installiert werden kann und bei leistungsfähigen Mehrplatzmikros durchaus Bedeutung erlangt hat. In verschiedenen Installationen auf Altos-Rechnern, unter anderem auf zwei unter Altos-Team-Net gekoppelten Maschinen, bewies das Betriebssystem seine Tauglichkeit bezüglich User-Identifikation und Passwordverwaltung. Auch Penetrationsversuche mit einer Startdiskette des Systembetreuers, der den Rechner selbst installiert hatte, blieben ohne Nutzung spezieller Kenntnisse der Harddisk-Zuordnung und der Passworddatei erfolglos. Die Anforderungen an ein verschlüsseltes, vom Benutzer selbst verwaltetes Password und die Anlage dedizierter Benutzerprofile wird nach den Ergebnissen des Tests voll erfüllt. Der Einsatz im Netzwerk zeigte deutlich, daß unter diesen Bedingungen eine Zugriffsregelung fast unverzichtbar ist, um im Mehrrechner- und damit Mehrplatzbetrieb überhaupt noch einen klaren Bedienungs- und Benutzungszustand definieren zu können. Diesen Gesichtspunkt kann man vollständig auf die Arbeit mit einem lokalen Netzwerk unter MS-DOS übertragen.

Im ersten Teil seines Arbeitsberichts führt Bernd Menne in die Gesamtproblematik ein, stellt die von ihm geprüften Produkte kurz vor und geht auf die Besonderheiten von Netzwerken unter Xenix ein. Mit den Zugriffsschutzprogrammen unter MS-DOS beschäftigt er sich in der zweiten und dritte Folge seines Arbeitsberichts.