MÜNCHEN (CW) - Nach dem Skandal nun der Streit: Kaum hat sich der Wirbel um die jüngsten Computer-Einbrüche deutscher Hacker etwas gelegt, tritt der seit Jahren schwelende Interessenskonflikt zwischen DV-Sicherheitsexperten und Herstellern wieder offen zutage. Beide Seiten beschuldigen sich gegenseitig der Unfähigkeit.

"Die Hersteller sollen endlich ihre Betriebssysteme in Ordnung bringen", wettert Rüdiger Dierstein, Abteilungsleiter Zentrale Datenverarbeitung bei der Deutschen Forschungs- und Versuchsanstalt fair Luft- und Raumfahrt (DFVLR) in Oberpfaffenhofen. Ich kann denen sagen, wo die Software-Löcher sitzen, wenn sie noch ein paar haben Wollen."

Als Mitglied der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) gilt sein Ärger diesmal vor allem dem VMS-Betriebssystem des Computerproduzenten Digital Equipment, der in den vergangenen Wochen durch die Hacker-Affäre weltweit in die Schlagzeilen geriet (CW Nr. 39 vom 25. September 1987, Seite 1). Wenn ein Benutzer bei VMS beispielsweise noch wählen kann, ob er seine Paßwörter verschlüsseln will oder nicht, ist das kein richtiges Sicherheitssystem", erläutert Dierstein. "Ein Security-Check, den der Kunde abschalten kann, taugt nichts."

Mit dieser Ansicht steht der DV-Leiter nicht allein. In den einzelnen GDD-Arbeitskreisen sowie auf den regelmäßig stattfindenden Tagungen vertreten die Sicherheits-Apostel fast einhellig die gleiche, Grundforderung: Bei einem wirklich sicheren System darf es solche Alternativen nicht geben.

Branchenschelte dieser Art lassen die Verantwortlichen bei DEC indes nicht gelten. "Die Verschlüsselungsmöglichkeiten des Paßworts sind gegeben", lautet die offizielle Stellungnahme aus der Deutschland-Zentrale in München. "Im System sind dafür insgesamt 212 Kombinationen vorgesehen." Hier müsse der Kunde seiner oft zitierten Rolle als "mündiger Anwender" gerecht werden und sich ein Paßwort aussuchen, das nicht nur aus zwei Sternchen bestehe.

So verweisen die Münchner bei VAX/VMS denn auch mit Stolz auf die beiden Sicherheitsstufen C2 und B2 des National Computer Security Centre. Diese Klassifikation hatte die amerikanische Prüfungskommission der Version 4.3 des DEC-Betriebssystems nicht zuletzt wegen der vielfältigen Verschlüsselungsmöglichkeiten zuerkannt.

Für Rüdiger Dierstein sind die vergebenen Sicherheitsstempel Grund zu neuer Klage: "Wieso", fragt der DFVLR-Manager, "enthalten dann ausgerechnet die Folgeversionen 4.4 und 4.5 einen solch katastrophalen Software-Fehler, durch den es den Hackern möglich wurde, sich mittels Ignorieren einer Fehlermeldung den Zugriff auf die geschützte Datei SYSUAF.DAT zu verschaffen?" Unerklärlich sei auch, so Dierstein, warum DEC diesen Betriebssystem-Lapsus nicht bei der Qualitätskontrolle entdeckt habe, die solch ein Software-Update normalerweise nach sich ziehe. Ebenfalls sei die Frage offen, ob DEC die beiden fehlerbehafteten Versionen vor der Auslieferung an ihre Kunden vom US-Security Centre nochmals auf die bereits verbriefte Sicherheit überprüfen ließ. Dierstein: "Entsprechende Antworten ist der Hersteller seinen Kunden bislang schuldig geblieben."

Doch bei den Sicherheitsklassen C2 und B2 ist der amerikanische Computerbauer - so scheint es zumindest formell aus dem Schneider. Nach offiziellen Angaben aus München wird das Betriebssystem zwar bei DEC selber auf die Security-Stufen hin abgeklopft; jedoch muß ein Anwender, der diese Klassen für sein Unternehmen als legales Aushängeschild verwenden will, eine erneute Prüfung beantragen. Geprüft wird dann, ob der Kunde das System im eigenen Unternehmen auch so anwendet, wie es DEC angewendet hat, um letztendlich diese Sicherheitsstufen zu erhalten.