Während die meisten DV-Manager sich der Notwendigkeit des Datenschutzes und der Datensicherheit sehr wohl bewußt sind. sind viele Organisationen absolut unzulänglich gegen den Verlust, die Zerstörung, Verfälschung oder den Verrat von Daten geschützt. Nur zu oft wird den Problemen der Datensicherheit eine geringe Bedeutung beigemessen. Hohe Arbeitsbelastung und knappe Budgets sind meist die Gründe hierfür. Falls es in einer Unternehmung keine enge Zusammenarbeit zwischen der DV-Abteilung, den Benutzern und dem höheren Management gibt, sind sich die beiden letzteren Gruppen kaum der Verwundbarkeit der Organisation auf Grund von Computer-Ausfällen bewußt. Andererseits gibt es zahlreiche Methoden, die es erlauben, den Zugriff zu einer Installation und deren Integrität wirkungsvoll zu kontrollieren. Um einen angemessenen Schutz zu erzielen, sollten alle verfügbaren Verfahren untersucht und stets eine Kombination dieser Verfahren verwandt werden. Zu dieser Zusammenstellung gehören regelmäßig physische Zugangskontrollen, personelle Maßnahmen, Verfahrensvorschriften und Softwareeinrichtungen.

Die Datensicherheit auf der Ebene der Logik beschäftigt sich mit der Verhinderung des unerlaubten Zugriffs auf das Computer-System und schützt die gespeicherten Informationen vor unerlaubter Entfernung, Veränderung oder Offenlegung. Computer-Zugriffskontrollsoftware ergänzt zwar andere Sicherheitsmaßnahmen, kann sie aber nicht ersetzen.

Das Risiko wächst

Die Bedrohung versehentlichen oder absichtlichen Mißbrauchs von Computer-Systemen steigt zunehmend an. Zunächst sei die weite Verbreitung von Computern genannt. Es gibt nunmehr ungefähr 200000 Mainframeanlagen - viele von ihnen in Verbindung untereinander - welche die Daten der Geschäftswelt handhaben. Weiterhin ist mit diesen Großrechnern eine geradezu astronomische Anzahl von Terminals Kleincomputern und in steigendem Maße auch Homecomputern verbunden, die alle die Fähigkeiten haben, auf ungeschützte Daten zuzugreifen.

Schließlich gibt es immer mehr Computer-Professionals und die wie Pilze aus dem Boden sprießende Anzahl talentierter Amateure, welche Ausschau halten nach herausfordernden Aufgaben, um ihre Fähigkeiten zu testen. Erschreckend deutlich wurden diese Risiken durch die jüngst erfolgte Flut unerlaubter Zugriffe auf die Systeme großer US-Organisationen durch Studenten und Schüler

Um Systeme wirksam zu schützen, bedarf es regelmäßig der Nutzung von Sicherheitssoftware, die bei der Planung von Sicherheitsmaßnahmen budgetmäßig eingeplant werden muß.

Die kommerziell verfügbaren Softwarepakete (zumeist auf große IBM-Installationen und kompatible Anlagen zugeschnitten) haben im allgemeinen zwei Hauptaufgaben:

- Den Zugriff zum System durch Identifikation und Überprüfung des Zugreifenden zu kontrollieren. Im allgemeinen werden solche Prüfungen bereits durchgeführt beim Logon von TSO, CICS oder IMS oder bei der Übermittlung von Batch-Jobs.

- Den Zugriff zum System durch Kontrolle der Ressourcen zu kontrollieren. Die Definition der .,geschützten Ressourcen variiert von Paket zu Paket, schließt aber gewöhnlich Terminals oder RJE-Stationen ein sowie Band-, Platten- oder Massenspeicherdateien und manchmal auch einzelne Programme. Weitere Ressourcen, welche von einigen Paketen geschützt werden können, sind Bänder, Platten oder einzelne Subsysteme wie etwa CICS, IMS und TSO.

Die wichtigsten Ziele von Sicherheitssoftware sind Verantwortlichkeit, Revisionsfähigkeit, Vollständigkeit, Wiederherstellbarkeit und vernünftige Kosten.

Ein Sicherheitssystem sollte es ermöglichen, die einzelnen Benutzer für ihre Aktionen verantwortlich zu machen.

Viele der heute eingesetzten Systeme erlauben keine eindeutige Zuordnung (zum Beispiel Verschlüsselungssysteme, Standard-OS-Paßwort-Schutz). Wird eine Datei durch ein OS-Paßwort geschützt, so gibt es auch immer Leute, die das Paßwort kennen und benutzen. Falls jemand unerlaubte Veränderungen an den Daten vornimmt, existiert keine Methode um den Urheber zu identifizieren. Wird ein Paßwort verraten, kann niemand hierfür direkt verantwortlich gemacht werden. Da jeder, der ein Paßwort kennt, weiß, daß er nicht der einzige Inhaber dieses Wissens ist, wird er es möglicherweise nicht mit der gleichen Sorgfalt geheimhalten, als wenn er der einzige Inhaber wäre.

Paßwortwechsel zu aufwendig

Auch müssen alle Benutzer, die das Paßwort rechtmäßigerweise kennen, bei einer eventuellen Änderung stets informiert werden, was nicht gerade zu einem häufigen Wechsel des Schlüsselbegriffs beiträgt. So ist es kein Wunder, daß sich die Kenntnis solcher gemeinsam benutzter Paßwörter in der Regel rasch über einen größeren Personenkreis verbreitet. Bei einer sorgfältig geschützten Installation sollte es stets möglich sein festzustellen, wer im einzelnen Zugriff zu einer gegebenen Datei oder einer anderen geschützten Ressource hat.

Ein wichtiger Aspekt bei der Sicherheitssoftware ist die Revisionsfähigkeit. Der Zugriffsschutz sollte automatisch Aufzeichnungen über alle bedeutenden Vorkommnisse liefern, insbesondere darüber, wer auf welche Informationen zugreifen darf oder durfte. Diese Aufzeichnungen müssen dabei lückenlos sein. Niemand wird großes Zutrauen zu Listen haben, die unvollständig sind oder manipuliert werden können. Die Aufzeichnungen selbst müssen daher gegen Veränderung geschützt, jedoch für den Revisor, Security Officer oder andere autorisierte Personen jederzeit einsehbar sein. Da die SMF-Datei so etwas wie die Bibel einer Installation ist, bietet sie sich als geeigneter Aufbewahrungsort für solche Aufzeichnungen an.

Die Vollständigkeit ist ein weiteres wichtiges Element bei der Zugriffssicherung. Kann eine Sicherungskomponente unbemerkt aus dem System entfernt und schnell wieder installiert werden, oder kann auch nur der Schutz einzelner Dateien durch Manipulation einzelner Bits vorübergehend außer Kraft gesetzt werden, so ist die Vollständigkeit des Schutzes nicht gewährleistet.

Ein unvollständig geschütztes System ist eher gefährdet als ein ungeschütztes da bei letzterem jedermann um den fehlenden Schutz weiß. Die Wiederherstellbarkeit ist ebenfalls ein wesentlicher Punkt beim Zugriffsschutz.

Falls das Sicherheitssystem durch Hardwarefehler oder vorsätzliche Manipulationen gestört wird, tauchen eine Reihe von Fragen auf:

Wird die Störung bemerkt, so ist zu fragen, ob die Prozeduren zur Wiederherstellung der Sicherung leicht zu handhaben und sicher im Ergebnis sind. Bleiben die zu schützenden Dateien während der Störung geschützt? Können sie während der Störung verarbeitet werden und gibt es Aufzeichnungen, wer während der Störung Zugriffsberechtigung bekam. Bei einem Ausfall der Dateien des Sicherungssystems (in denen verzeichnet ist, wer wann, wo und wie zugreifen darf) müssen diese schnell und vollständig wiederhergestellt werden können. Können die Kontrolldateien nicht vollständig wiederhergestellt werden, ist hierin eine ernste Verletzung der Forderung nach umfassendem Schutz zu sehen, da in den fehlenden Informationen entscheidende Angaben enthalten sein können.

Der jetzte wichtige Aspekt bei der Auswahl eines Sicherungssystems sind die Kosten. Neben den Kosten für die Anschaffung des Systems sind die jährlichen Wartungsgebühren und die Minderung der Performance des ganzen Systems von Belang. Weiterhin erhebt sich die Frage wieviel Manpower gebunden wird für die Installation, Implementierung und die ständige Pflege und Verwaltung des Systems. Der Preis für die Sicherung des Systems ist sicherlich gering im Vergleich zu den Hardware- und Softwarewerten, die geschützt werden sollen.

Um ein Zugriffsschutzsystem zu installieren, braucht man gewöhnlich nur wenige Stunden. Um es zu implementieren und sinnvoll zu nutzen, sind häufig Monate sorgfältiger Arbeit aufzuwenden. Dies muß durch überlegte, nicht notwendigerweise zeitaufwendige, administrative Anstrengungen ergänzt werden. Alle diese Arbeiten sind nicht unbedingt mit großem Aufwand verbunden, jedoch muß der Entschluß, das System zu sichern, ein Teil der Firmenstrategie sein und von allen Ebenen des Managements getragen werden.

Ein Zugriffsschutzsystem ist im allgemeinen als eine Ergänzung des Betriebssystems zu betrachten. Normalerweise wird es seine Anschlüsse in Teilen des Betriebssystems haben. Es sollte auf jeden Fall ausschließlich existierende Module "front-end" ergänzen, keinesfalls aber irgendeinen Teil des Betriebssystems löschen oder ersetzen.

In IBM-Systemen wird beispielsweise eine Gültigkeitsprüfung durchgeführt bei TSO-Logon, IMS-Signon CICS-Signon, JES2 JCL-Konvertierung, JES3-Eingabeverarbeitung oder beim Logon anderer Systeme (zum Beispiel Tone, Roscoe). Um den Zugriff zu überwachen, sollten im Betriebssystem Abfänger installiert werden, um die Kontrolle beim Open zu erlangen - ebenso beim Errichten neuer Dateien, beim Löschen oder Neubenennen von Dateien und beim Verarbeiten des Katalogs. Diese Abfänger entscheiden darüber, ob und welche Art des Zugriffes erlaubt ist.

Dateikopien werden verhindert

Es kann noch eine feinere Unterscheidung getroffen werden, bevor der Zugriff gestattet wird. So kann man in Zugriffsregeln festlegen, durch welche Eingabequelle (zum Beispiel Terminal, Reader) ein Job aufgerufen werden muß. Weiterhin kann vorgeschrieben werden, welches Programm- der Job benutzen soll oder aus welcher Bibliothek er es entnehmen muß. Auch können die Berechtigung eines Benutzers auf bestimmte Zeiten begrenzt und Zugriffsberechtigungen eingeschränkt werden. Programme können vor Einsichtnahme geschützt werden, ihre Ausführung wird aber erlaubt.

Mit Zugriffsschutzsoftware kann eine paßwortlose und dennoch geschützte Produktion ermöglicht werden, indem die Produktionsjobs nur über einen genau vorgeschriebenen Pfad aufgerufen werden können. Auf diese Weise entfällt bei der Produktion die Wartung der Paßwörter. Eine weitere Sicherung ist möglich, wenn der Benutzer auf bestimmte Eingabemedien beschränkt wird, zum Beispiel auf bestimmte Terminals oder Kartenleser.

Die Installation und Wartung eines Zugriffssicherungssystems sollte geradlinig erfolgen und klar definierte Schnittstellen haben. Die Standards des Computerherstellers sollten verwendet werden; das bedeutet im Falle von IBM den Einsatz des System Maintenance Programs (SMP).

Ein Datenzugriffsschutzsystem muß sich aber auch selber schützen. Alle Änderungen, die an den Kontrolldateien vorgenommen werden, müssen automatisch aufgezeichnet werden. Ein Backup der Dateien sollte täglich erfolgen. Falls aus irgendeinem Grund die Kontroll-Dateien zerstört werden (zum Beispiel Hardwarefehler), muß ein Utility verfügbar sein, das mit Hilfe der Änderungsaufzeichnungen und der Backup-Dateien die Kontroll-Dateien wiedererstellt, und zwar so, wie sie vor der Störung waren. Außerdem muß es während des Wiederherstellungsprozesses möglich sein, kritische Jobs laufen zu lassen.

Maßnahmen zentral koordinieren

Die Einführung eines Zugriffsschutzsystems erfordert normalerweise wenig Schulung des Personals. Jedoch ist eine zentrale Koordination der Maßnahmen wesentlich. Wenn das Sicherheitssystem erst einmal implementiert ist, sollten nur noch wenige laufende Arbeiten zu erledigen sein, wie etwa das Update der Kontroll-Dateien und die Durchsicht der vom System erzeugten Berichte.

Die Einführung eines Sicherheitssystems ist stets mit einem gewissen Aufwand an Geld und Personal verbunden.

Dem sind jedoch andere Gesichtspunkte gegenüberzustellen: Die möglichen Kosten, die einer Organisation durch versehentliche oder absichtliche Zerstörung, Veränderung, Verfälschung oder den Verrat von Daten entstehen können, und die Wahrscheinlichkeit für ein solches Ereignis.

Betrachtet man die vergleichsweise niederen Kosten für die Anschaffung eines Datenzugriffsschutzsystems und den bei einigen Systemen vernachlässigbaren Einfluß auf die Performance des Computers sowie den geringen zusätzlichen Verwaltungsaufwand, so dürfte es meist kostenmäßig sinnvoll sein, ein Zugriffsschutzsystem zu einem Teil der Firmensicherheitspolitik zu machen. Die Sicherung der Ressourcen und Daten eines Computersystems vor absichtlicher oder versehentlicher Zerstörung, Verfälschung oder Verrat ist nicht nur wünschenswert, sondern wird in wachsendem Maße unumgänglich.

*Götz Heidbrink ist Vertriebs- und Marketingleiter der SKK GmbH, München.