Mit zunehmender Vernetzung der IT-Systeme ergeben sich zahlreiche neue Angriffsflaechen fuer unberechtigte Benutzer, denen durch adaequate Sicherheitsmechanismen im Netz begegnet werden kann. Ueber wirkungsvolle Arbeitsteilung sowie funktionierende Abstimmung der einzelnen Betriebssysteme und Anwendungen, ferner ueber zusaetzliche Massnahmen berichtet Sven Nilsson*.

Einzelne IT-Systeme besitzen heute Zugangskontrollen fuer die Identifizierung und Authentisierung der Nutzer. Andere verfuegen ausserdem bereits ueber Kontrollen zur Autorisierung von berechtigten Nutzern beim Zugriff auf gespeicherte Daten und Informationen. Zur Beweissicherung und Revision werden haeufig auch schon sicherheitsrelevante Ereignisse in IT-Systemen automatisch protokolliert. Mit der Vernetzung der Systeme kommen aber neue Sicherheitsrisiken hinzu.

Um den berechtigten Systemzugang zu beliebigen Client-Systemen sicher zu ermoeglichen und den Zugang Unberechtigter auszuschliessen, benoetigt eine verteilte Verarbeitung netzweite Schutzmechanismen. Zusaetzlich ist eine integritaetsgeschuetzte oder vertrauliche Kommunikation zwischen den IT-Systemen noetig.

Sind die Kommunikationspartner auf Datenverkehr zwischen Anwendungen angewiesen, sind weitere Sicherheitsmechanismen erforderlich. Um schliesslich eine gesicherte Datenhaltung und Kommunikation in angreifbaren IT-Systemen zu ermoeglichen, muessen gewisse Sicherheitsfunktionen in Form eines Sicherheitskerns in der Hardware realisiert sein. DOS-PCs sind bei manchen Anwendungen solche angreifbaren Systeme.

Im folgenden werden Musterbeispiele von typischen vernetzten IT- Systemen und ihren Angriffsflaechen aufgezeigt, ferner jeweils Sicherheitsfunktionen mit ihren Wirkungskreisen dargestellt.

In heutige IT-Systeme sind Sicherheitsmechanismen bereits integriert. Sie dienen dazu, im Mehrbenutzerbetrieb nur den vorgesehenen, also berechtigten Nutzern Zugang zu gewaehren und den Zugriff auf die ihnen zur Verfuegung gestellten Ressourcen zu ermoeglichen. Externe Angreifer sind vom Betrieb auszuschliessen, und internen Nutzern ist der Zugriff auf fremde Ressourcen zu verwehren.

Einzelne IT-Systeme realisieren in der Regel die Sicherung auf zwei Ebenen: zum einen konstruktiv in der Hardware, zum anderen bei den Betriebssystemen.

Bei Grossanlagen ist in der Regel ein Zutrittsschutz realisiert, das heisst, Gebaeudeteile, in denen IT-Anlagen betrieben oder Datentraeger deponiert werden, sind konstruktiv und organisatorisch vor Fremdzutritt gesichert. Bei kleinen IT-Systemen (Abteilungsrechner, Workstations oder Personal Computer) wird der physische Zugriff auf die Systeme und ihre Daten in der Regel durch konstruktive Massnahmen abgesichert, die:

- die Mitnahme des Geraetes unmoeglich machen,

- gegen einen mechanischen Eingriff in das Geraet schuetzen,

- die unerlaubte Bedienung verhindern sowie

- das unerlaubte Einlegen und Entfernen von Datentraegern unterbinden.

Sicherungen, die IT-Systeme zusaetzlich im Betriebssystem realisieren, sind:

- Zugangsschutzsysteme, die Nutzer identifizieren und authentisieren, meist mit User-Kennung und Passwort oder Chip- Karte. Die Zugangskontrolle soll verhindern, dass nicht autorisierte Personen das System benutzen.

- Zugriffsschutzsysteme zur Autorisierung von Dateizugriffen berechtigter Nutzer. Die Zugriffskontrolle schuetzt Dateien und Datenhaltungen (Objekte) vor unberechtigtem Zugriff Fremder oder nicht autorisierter Personen. Die Systeme stellen dies in der Regel mit Access-Control-Lists (ACLs) und entsprechenden Kontrollsystemen sicher.

- Beweissicherungssysteme (Audit-Systeme) zur Revision sicherheitsrelevanter Ereignisse.

In Form von Protokollen werden automatisch sicherheitsrelevante Vorkommnisse aufgezeichnet, um im Bedarfsfall Angriffsversuche zurueckverfolgen zu koennen. Die Funktionalitaet und Qualitaet der Schutzmechanismen der einzelnen IT-Systeme koennen evaluiert werden. Kriterien dafuer sind im TCSEC (Trusted Computer System Evaluation, besser als Orange Book for Security bekannt) des Department of Defense (DoD) der USA veroeffentlicht.

Europaeische Evaluierungskriterien sind als IT-Sicherheitskriterien vom Bundesamt fuer Sicherheit in der Informationstechnik (BSI) veroeffentlicht. Eine Harmonisierung der Evaluierungskriterien ist zur Zeit als ITSEC (Information Technology Security Evaluation Criteria) in Arbeit. IT-Systeme, die die hier beschriebenen Sicherungen enthalten, entsprechen dem Level C2 nach Orange Book oder F2 nach den IT-Sicherheitskriterien des BSI.

Es wird hier unterstellt, dass die oben beschriebenen Sicherheitsfunktionen in die einzelnen IT-Systeme eingebaut sind und den Schutz der Systeme gewaehren. Bei Client-Server-Systemen (vgl. Abbildung 1) wird also davon ausgegangen, dass sowohl die Clients als auch die Server fuer sich genommen konstruktiv und durch ihre Betriebssysteme ausreichend gesichert sind, so dass Angriffe auf diese Systeme dort abgewehrt werden.

Im Netz sind die oben genannten Massnahmen jedoch nicht ausreichend. Hier muessen weitere Mechanismen bereitgestellt werden, um Angriffe im Netz, also in der Leitung abzuwehren und um das System fuer den Nutzer als monolithisch erscheinen zu lassen.

In vernetzten Systemen und Client-Server-Anwendungen werden mithin weitere Sicherheitsfunktionen benoetigt, um

- Nutzungsrechte auch auf verteilte Services zu gewaehren,

- Zugriffssicherungen auch fuer remote abgelegte Dateien aufzubauen,

- einen integritaetsgeschuetzten Dialog zu einem remoten System zu ermoeglichen sowie

- einen vertraulichen Nachrichtenaustausch zwischen Client und Server zu unterstuetzen.

Netz-Betriebssysteme bezie- hungsweise Systeme, die ein Client- Server-Computing unterstuetzen, muessen kuenftig folgende Eigenschaften aufweisen:

- Dem Benutzer eines Netzverbunds soll der gesamte Betrieb durch ein einziges Login moeglich sein.

- Die Nutzungsrechte sind auch auf verteilten Services einzurichten und zu gewaehrleisten.

- Zugriffssicherungen sind auch fuer remote abgelegte Dateien einzurichten.

- Ein integritaetsgeschuetzter Dialog ist mit einem remoten System schaltbar.

- Ein vertraulicher Nachrichtenaustausch zwischen Client und Server wird unterstuetzt.

Zur Unterstuetzung derartiger Eigenschaften werden neue, allgemein verwendbare Sicherheitsfunktionen in jedem IT-System noetig. Sie sollten ueber ein Generic Security Service Application Program Interface (GSS-API) fuer alle Anwendungen ansprechbar sein.

Auch Middleware wie zum Beispiel File-Transfer kann dann fuer die Kommunikation im Netz, also zur Laufzeit eines Prozesses, Gebrauch von den Services machen. Diese Sicherheitsdienste sind additiv zu den Sicherheitsfunktionen der einzelnen IT-Systeme auf jedem IT- System zu installieren.

Die Koordination der Dienste in den einzelnen IT-Systemen muss durch eine vertrauliche Kommunikation zwischen den Systemdiensten erreicht werden.

Sind IT-Systeme nicht hinreichend gegen Angriffe geschuetzt, verfuegen sie also nicht ueber alle oben beschriebenen Mechanismen, was insbesondere bei DOS-basierten PCs als Clients der Fall ist, dann muessen zusaetzliche und geschuetzte Sicherheitsdienste ueber entsprechende Schnittstellen (API) fuer Anwendungen und systemnahe Dienste direkt zur Verfuegung gestellt werden. Diese sollen die folgenden Funktionen gesichert unterstuetzen:

- Authentisierung der Nutzer von Anwendungen (zum Beispiel bei POS-Applikationen),

- rechtskraeftige Signierung von Dokumenten und Ueberpruefung der Signaturen.

Wie in Abbildung 2 dargestellt, gelten das Netz und die Endgeraete als angreifbar. Die Sicherheit auf der Anwendungsebene laesst sich bei dieser Voraussetzung nur mit kryptografischen Mitteln gewaehrleisten. Kryptografische Funktionen benoetigen Schluessel, die vertraulich im System gespeichert sein muessen. Um den notwendigen Austausch des Schluessels mit dem Kommunikationspartner zu ermoeglichen, ist ein Key-Management fuer die Anwendungen noetig. Daher sind weitere Einrichtungen und Mechanismen notwendig, um Daten, Nachrichten und Schluessel integritaetsgeschuetzt beziehungsweise verschluesselt den weniger gesicherten Systemteilen zu uebergeben.

Als Zusatzeinrichtung ist daher ein geschuetzter Sicherheitskern als Hardware-Einheit empfehlenswert, in dem die Verschluesselung oder der Integritaetsschutz geleistet wird und in dem auch die dazu notwendigen Schluessel gespeichert sind. Es werden folgende Sicherheitsmechanismen noetig:

- eine Identifizierung und Authentisierung innerhalb einer Anwendung unter Verwendung von Magnetstreifenkarte oder

- Chip-Karten (zum Beispiel fuer Point-of-Sales-Services),

- die Speicherung und der Transport von integritaetsgeschuetzten oder vertraulichen Objekten (Dateien oder Nachrichten),

- vertrauliche Speicherung und vertraulicher Transport von Schluesseln (Key-Speicher und Key-Management fuer Anwendungen) sowie

- eine klare Rollentrennung zwischen der Systemadministration beziehungsweise dem Operating auf der einen Seite und der Sicherheitsverwaltung auf der anderen.

Durch die Einfuehrung von Chip-Karten (Smart-Cards) kommen weitere Funktionen und Schnittstellen hinzu, die eine nutzerindividuelle Schluesselspeicherung und Verwendung in der Anwendung ermoeglichen. POS-Systeme machen Gebrauch davon. Der Standardisierungsprozess ist auf dieser Ebene jedoch noch nicht abgeschlossen.

Befuerchtet der Betreiber Angreifer im administrativen Bereich der Systeme, sind ebenfalls zusaetzliche Hardware-Einrichtungen als nicht manipulierbare Sicherheitskerne zu installieren.

Um im Middleware-Bereich verbindliche Transportdienste und Mail- Systeme zu realisieren, werden Sicherheitsfunktionen benoetigt, die eine Verschluesselung oder einen Integritaetsschutz auch fuer gespeicherte Daten ermoeglichen. Typische Dienste dieser Art sind:

- vertrauliche Datenhaltung fuer personenbezogene Daten- Echtheitspruefung beziehungsweise den

- Nachweis von Dokumenten fuer EDI- und Mail-Systeme sowie

- Zustellnachweis, zum Beispiel Mail und EDI-Nutzer.

Zur Loesung werden zunehmend asymmetrische Verschluesselungsmethoden angewendet. Es bieten sich zunehmend Chip-Karten als Datentraeger fuer die dazu benoetigten Schluessel an. Smart-Cards bieten darueber hinaus auch noch gleich die Verschluesselungsleistung an. Sie koennen daher in hoch sicherheitsrelevanten Anwendungen den Sicherheitskern bilden.

Die Standardisierung von Sicherheitsmechanismen ist bis heute nicht vollstaendig abgeschlossen. Es gibt jedoch zahlreiche Ansaetze und Gremien, die Standardisierungen von Sicherheitsfunktionen vorantreiben. Fuer einzelne IT-Systeme wird durch die Evaluierung ihrer Sicherheitseigenschaften eine Verallgemeinerung der Funktionalitaet erreicht. Es haben sich mit der Zeit zunehmend auch fuer vernetzte Systeme Sicherheitsdienste ueber allgemein verfuegbare Netzsoftware-Produkte durchgesetzt, so dass ueber diesen Weg eine Standardisierung zu erwarten ist. Fuer Client-Server-Systeme wird im Open-System-Bereich das Produkt Distributed Computing Environment (DCE) der Open Software Foundation (OSF) in Posix als Standardprodukt eingebracht. Damit wird ein Quasistandard fuer die IT-Systeme angestrebt.

Das Schichtenmodell der Sicherheitsdienste

Fuer das Signieren von Dokumenten und Dateien, zum Beispiel mittels einer digitalen Unterschrift, setzen sich asymmetrische Kryptografie-Verfahren (Public-Key-Verfahren) durch. Insbesondere das RSA-Verfahren nimmt an Bedeutung zu, es ist aber wegen seiner Qualitaet (dem Abwehrpotential), der Verarbeitungsleistung und dem Rechtsanspruch der Eigner noch umstritten. In CCITT 509 sind Identifikationsverfahren in Form eines Naming-Service und Moeglichkeiten fuer die Ablage von zertifizierten oeffentlichen Schluesseln vorgeschlagen, die eine hohe Akzeptanz aufweisen. Dieser Service kann in DCE-Systemen benutzt werden.

Abhaengig vom Einsatzfall sind Teile oder alle aufgefuehrten Sicherheitsdienste in den verwendeten IT-Systemen erforderlich. Aus Kosten-, Aufwands- und Performance-Gruenden sollten nur die Sicherheitskomponenten in den Systemen installiert und verwendet werden, die tatsaechlich benoetigt werden. Die Sicherheitsdienste sind andererseits voneinander abhaengig. Die netzweiten Sicherheitsdienste werden die lokalen Dienste mit verwenden; beide nutzen Basisdienste, wie zum Beispiel die Kryptografie.

Ein wesentliches Ziel wird es sein, in der Zukunft nicht fuer jede Sicherheitskomponente die Grundfunktionen getrennt zu implementieren und im System zu installieren. Daher sollten die Sicherheitskomponenten modular strukturiert sein und aufeinander aufbauen. Abbildung 3 zeigt ein Modell, in dem die Sicherheitsdienste, Mechanismen und Basisfunktionen in Schichten verbunden dargestellt sind. Oben in Schicht E sind die Dienste dargestellt, die auf einer Anwendungsebene zur Verfuegung stehen sollten und sichtbar sind. Die Schicht D zeigt Dienste, die in Netzkomponenten zur Verfuegung stehen sollten und zum Einsatz kommen koennen. Darunter sind in Schicht C die Funktionen dargestellt, die in den lokalen Betriebssystemen benoetigt werden. Schliesslich sind in Schicht B und A die Basisfunktionen aufgelistet.

All diese Schichten sind in jedem IT-System unverzichtbar. Zur Differenzierung dieses Modells der Sicherheitskomponenten vom ISO- 7-Schichtenmodell sind hier die Schichten mit A bis E bezeichnet. Das Modell macht deutlich, dass nicht jeder Sicherheitsdienst autark ist und dass Grundfunktionen allen hoeheren Sicherheitsdiensten zur Verfuegung gestellt werden koennen und in Zukunft auch sollten. Insbesondere kryptografische Basisfunktionen sind zukuenftig fuer gehobene Sicherheitsdienste ueberall faellig.

Einige der heutigen IT-Systeme, wie zum Beispiel Sinix und BS2000, sind mit Sicherheitsfunktionen ausgestattet. Beide wurden nach den IT-Sicherheitskriterien des BSI evaluiert. BS2000 ist mit F2 und Q3 eingestuft, Sinix mit F2 und Q2, was C2 nach dem Orange Book entspricht. Sicherheitsdienste fuer Client-Server-Computing koennen bei BS2000-, Sinix- und DOS-Windows-NT-Systemen zusaetzlich ueber die Integration von DCE erbracht werden.

Bei Windows und Windows NT wird die Funktionalitaet von DCE in Zukunft ueber das Wosa-Interface als Schnittstelle zur Verfuegung gestellt. Die heutige Implementierung von DCE (V1.0) enthaelt jedoch noch nicht alle vorgestellten Netzsicherheitsfunktionen, insbesondere kein GSS-API. Daher haben heute die Middleware- Produkte auf den Systemen noch separate Sicherheitsfunktionen. Die verfuegbare DCE-Sicherheitskomponente Kerberos von DCE V1.0 bietet keine Hardware-Unterstuetzung fuer Sicherheitsfunktionen allgemein oder fuer kryptografische Basisfunktionen speziell an. Ohne eine Hardware-Unterstuetzung wird in den Systemen jedoch CPU-Leistung fuer das Sicherheitssystem gebunden, und es sind gewisse Sicherheitsfunktionen durch die Administratoren der jeweiligen Betriebssysteme einsehbar und manipulierbar.

Es ist daher eine sinnvolle Strategie, auf allen strategischen IT- Systemen kryptografische Basisfunktionen zur Verfuegung zu stellen, die die Sicherheitsfunktionen wie oben beschrieben unterstuetzen. Die Funktionalitaet sollte dann ueber Schnittstellen verfuegbar sein, die in allen Systemen gleich sind. Die Kryptofunktionen koennten zum Beispiel ueber eine Kryptohardware zur Verfuegung gestellt werden.

Eine derartige Hardware kann dann ueber ein Interface allen aufgefuehrten Sicherheitsdiensten kryptografische Basisfunktionen liefern. Um diesen Support auch in bestehenden Sicherheitskomponenten wie beispielsweise in DCE zu nutzen, muessen die kryptografischen Basisfunktionen auf eine entsprechende Schnittstelle abgebildet und die vorhandene Softwarerealisierung muss optional abschaltbar gestaltet werden. Mit Hilfe einer entsprechenden Innovation der Sicherheitskomponenten kann dies kuenftig erreicht werden.

Um mehreren Anwendungen auf einem System kryptografische Basisfunktionen in Hardware realisiert zur Verfuegung zu stellen, ist ein Nutzungskonzept zu erstellen und die Nutzung insbesondere der Schluessel zu regeln. Eine Loesung ist, jeder Anwendung eine eigene Kryptohardware zuzuordnen. Alternativ dazu ist es moeglich, die Anwendungen koordiniert auf einer Kryptohardware arbeiten zu lassen. Die verschiedenen Schluessel der einzelnen Anwendungen muessen dazu in der Kryptohardware separat gehalten und verwaltet werden koennen. Mit Hilfe eines Berechtigungskonzepts und entsprechenden Kontrollmechanismen koennen dann auch mehrere unabhaengige Anwendungen kryptografische Leistungen gleichzeitig in Anspruch nehmen.

Eigenschaften der Sicherheitsstrategie

Da heute noch kein Standard sich allgemein durchgesetzt hat, existieren zur Zeit verschiedene kryptografische Supportsysteme nebeneinander. Um dennoch in heterogenen Systemen eine Interoperabilitaet der Sicherheitskomponenten zu erreichen sind Adaptionen erforderlich.

Sicherheitsanforderungen sind einerseits von der jeweiligen Anwendung abhaengig und andererseits durch die IT-Systemlandschaft gepraegt. Aus Nutzen-, Leistungs- und Kostengruenden sollten nur solche Sicherheitskomponenten zum Einsatz kommen, die jeweils noetig sind. Daher ist ein Sicherheitskonzept erforderlich, das modular aufeinander aufbauende Sicherheitskomponenten enthaelt, die nach dem Baukastenprinzip zusammengestellt werden koennen. Die verfuegbaren Sicherheitskomponenten weisen in diese Richtung.

Durch das Fehlen von allgemeinen Standards fuer Sicherheitsfunktionen sind heute noch zahlreiche separate Sicherheitskomponenten vorhanden, die auf die jeweiligen Teilloesungen optimiert sind. Die Vernetzung der Systeme und das Vordringen der IT-Systeme in immer mehr Bueroanwendungen erfordern zunehmend homogene Sicherheitsfunktionen. Mit dem vorgestellten Sicherheits-Schichtenmodell, seinen funktionalen Schichten und den dazwischen liegenden Schnittstellen soll der Problemkreis Sicherheitskomponenten und Funktionen in IT-Systemen und Netzen transparent gemacht werden. Kryptografische Basisfunktionen sind ein Weg zur notwendigen Vereinheitlichung. Bis zur praktischen Durchsetzung ist es aber noch ein langer Weg, der weitere Standardisierungen und Abstimmungen am Markt erforderlich macht.