Für eine schweizerische Bank ist Sicherheit eine der wichtigsten Anforderungen an die Informationstechnologie. Dabei geht es einerseits um die Richtigkeit und Unversehrtheit der Daten, andererseits um den Schutz der Vertraulichkeit. Letzteres erfordert auch das Schweizer Bankgeheimnis in speziellem Maße. Dieser Schutz der Vertraulichkeit sollte in der Praxis durch die kontrollierte Vergabe von Zugriffsrechten auf Daten nach dem Prinzip des "Need to Know" erfolgen.
Die Beurteilung der Berechtigung von Zugriffsanforderungen sollte nach den Vorgaben der für die Daten zuständigen Stelle ("Data Owner") umgesetzt werden. Das setzt voraus, daß die Zuständigkeiten für Daten sauber getrennt sind - in der Praxis leider keine Selbstverständlichkeit. Schließlich muß man sich auch bewußt sein, daß der Bedarf für den Zugriff auf Daten etwas Dynamisches ist: Folglich kann er sich bei jeder Reorganisation ändern, da im Zuge von Umstrukturierungen oder bei einer Job-Rotation meist die Aufgabenfelder der Mitarbeiter neu definiert werden. Eine sorgfältig konzipierte Betriebsorganisation zur systematischen Vergabe von Zugriffsrechten unter Wahrung einer konsequenten Funktionstrennung ist also eine erste wichtige Voraussetzung für die Gewährleistung des Datenschutzes.
Letztlich sind somit im Bereich der Sicherheit organisatorische Regelungen mindestens so wichtig und oft aufwendiger als die anschließende technische Realisierung. Von Herstellerseite wird diesem Aspekt in der Regel leider zu wenig Bedeutung beigemessen. Neben der geordneten Vergabe von Zugriffsrechten geht es beim Datenschutz, vereinfacht gesagt, nur noch darum, sicherzustellen, daß diese Zugriffsrechte tatsächlich nur denjenigen zur Verfügung stehen, die entsprechend autorisiert sind. Es geht also um die Verhinderung von Umgehungsmöglichkeiten.
Datenschutzprobleme bei Client-Server-Systemen
Hier gilt das Gleiche wie beim physischen Schutz: Es nützt wenig, eine Türe sorgfältig zu bewachen, wenn gleichzeitig die Fenster weit offenstehen oder eine halbe Wand fehlt. Im Bereich der IT-Sicherheit geht es speziell darum, die Verantwortlichkeiten zwischen den Benutzern, den Entwicklern und den Betreibern klar auseinanderzuhalten. Die Benutzer sind verantwortlich für eine klare Zuordnung der Zuständigkeiten für die verschiedenen Datenbestände und für eine zweckmässige Vergabe von Zugriffsrechten. Die Entwickler und Betreiber müssen dagegen dafür sorgen, daß die Datenzugriffe tatsächlich nur so stattfinden können, wie es die Anwender definiert haben.
Was in der Theorie noch einfach klingt, ist in der Praxis, speziell bei offenen Client-Server-Systemen, mit einigem Aufwand verbunden. So bestehen diese föderativen Netze in der Regel aus vielen Knoten, wobei es grundsätzlich sehr leicht ist, irgendwo im Netz einen zusätzlichen Knoten zu installieren und von diesem aus einen Dialog mit anderen Netzteilnehmern aufzubauen. Ebenso ist es auch technisch ohne weiteres möglich, die Adresse eines anderen Knotens zu simulieren und so die Zugriffsrechte dieses Knotens zu erben, ein Verfahren, das auch als "Maskerade" bekannt ist. Diese Beispiele unterstreichen einerseits die Flexibilität offener Netze und zeigen andererseits aber, daß Offenheit das Gegenteil von Sicherheit, im Sinne von Geschlossenheit nach außen, darstellt.
Erschwerend kommt hinzu, daß sich die in der "offenen Welt" weit verbreiteten Betriebssysteme DOS und Unix nicht durch eine hohe Sicherheit auszeichnen. Das gilt speziell für DOS, wo die vielen Viren einen Beweis für die Verwundbarkeit auf Systemebene erbracht haben.
Eine weitere große Gefahr für den Datenschutz ist der Diebstahl von Paßwörtern. Immer noch gibt es viele Systemkomponenten und Applikationen, die bei ihren Login-Mechanismen keine Verschlüsselung der Kennwörter vornehmen. Damit kann ein Paßwort auf jeder unverschlüsselten Strecke im Netz leicht gestohlen werden. Besonders kritisch sind hier die sehr weit verbreiteten Terminalemulatoren. Es ist schwer verständlich, wieso die Hersteller in dieser Hinsicht so nachlässig sind. Offensichtlich ist der Druck seitens der Kunden bezüglich Sicherheit bisher zu schwach.
Die Vielzahl der beteiligten, oft dezentralen Knoten stellt einen weiteren Knackpunkt dar. Es ist unschwer einsehbar, daß Sicherheitsmaßnahmen auf wenigen großen, zentral betriebenen Rechnern leichter implementiert werden können als auf einer größeren Zahl von verstreut aufgestellten Servern.
Zudem zeichnet sich eine Client-Server-Umgebung dadurch aus, daß eine Vielzahl von intelligenten Knoten miteinander kommuniziert. Wenn jemand den Zugang zu hohen Systemprivilegien in einem einzigen Knoten hat, so besitzt er gleichzeitig viele Möglichkeiten, in weitere Systeme einzudringen. Dazu benötigt er nur die Kontrolle über einen der vielen Mechanismen zum Datenaustausch. Hierzu gehören unter anderem Filetransfer, Messagetransfer, Electronic Mail, Directory Services, Remote Login, Remote Operation oder das System- beziehungsweise Netzwerk-Management.
Auch früher gab es stets wenige, hoch bezahlte Spezialisten, die in der Lage waren, die Sicherheitsmechanismen zu umgehen. Die Gefahr, daß so ein Mitarbeiter sein Wissen mißbräuchlich anwendete, war aber nicht besonders hoch, da die Motivation fehlte, seine angesehene Stellung und seinen guten Ruf für einen unautorisierten Systemeingriff auf Spiel zu setzen. Mit der starken Verbreitung des Wissens über offene Systeme und der leichten Verfügbarkeit von wirkungsvollen Hackertools beispielsweise über das Internet ist aber die Zahl der für einen Mißbrauch in Frage kommenden Personen sehr stark angestiegen - somit ist auch die Gefahr von Datenschutzverletzungen erheblich gewachsen.
Mögliche Lösungsansätze
Vor der Auswahl der entsprechenden Sicherheitsmaßnahmen sollte man sich ein Bild über die Schutzwürdigkeit der verschiedenen Datenbestände und Applikationen machen. Hieraus ergibt sich eine Sicherheitsklassifizierung. In unserem Institut unterscheiden wir dabei die Klassen "allgemein zugänglich", "für internen Gebrauch", "vertraulich", "streng vertraulich" und "geheim". Gleichzeitig ist eine Domänenbildung ratsam, also eine Aufteilung der Datenbestände in sicherheitsmäßig von einander trennbare Teilbereiche. Die Schutzmechanismen sollten dann unterschiedlich sein einerseits je Sicherheitsklasse und andererseits je Sicherheitsdomäne.
Die Schutzmaßnahmen untergliedern sich in:
-Schutz der Knoten
-Schutz der Netze
-Schutz der Datenträger
-Kontrolle des Datenaustausches
Bei offenen Netzen steigt die Anforderung an den Schutz der Knoten, weil das Netz selbst keinen Schutz mehr leisten kann. Bei der Schweizerischen Bankgesellschaft haben wir deshalb eine Homologierung von Knoten eingeführt, die einen ausreichenden Sicherheitsstandard gewährleisten soll. Dazu gehören eine klare Betreiberverantwortung, ein minimaler physischer Schutz vor Eingriffen, ein geregelter Autorisierungsmechanismus, eine transparente Softwareversorgung sowie kontrollierter Datenimport und -export. Zudem ist der Einsatz von datenmanipulierender Software untersagt. Ferner gibt es keinen direkten Zugang zum öffentlichen Netz, ist er dennoch erforderlich, dann erfolgt er über ein Firewall-Gateway.
Als Voraussetzung für den Datenaustausch zwischen Knoten wurde eine starke Authentisierung der Knoten eingeführt, die auf einer "Authentibox" beruht. Diese auf einer Chipkarte basierende Box erhält ein Knoten erst dann zugeteilt, nachdem er ordnungsgemäß homologiert worden ist. Dadurch kann ein systematischer Schutz der Knoten auch administrativ durchgesetzt werden.
Bei den Schutzmechanismen im Netz ist zwischen der Chiffrierung von Daten einerseits und deren Authentisierung andererseits zu unterscheiden. Während bei der Chiffrierung alle Daten einer Meldung zu verschlüsseln sind, beschränkt man sich bei der Authentisierung auf die Verschlüsselung von wenigen Kontrollinformationen. Ersteres dient sowohl der Geheimhaltung als auch der Authentisierung, ist aber wesentlich aufwendiger als die zweite Methode.
Bei der Verschlüsselung ist zwischen symmetrischen und asymmetrischen Verfahren zu unterscheiden. Im einen Fall findet die Verschlüsselung mit dem gleichen Schlüssel statt wie die Entschlüsselung, während im anderen Fall zwei unterschiedliche Schlüssel zur Anwendung kommen. Die symmetrischen Verfahren sind weniger rechenintensiv als die asymmetrischen, bergen aber das Problem der Schlüsselverwaltung in sich. Eine sichere Verwaltung und Verteilung von Geheimschlüsseln ist nämlich äußerst aufwendig und stellt gleichzeitig ein erhebliches Sicherheitsrisiko dar.
Demgegenüber ist die Schlüsselverwaltung bei asymmetrischen Verfahren wesentlich eleganter, weil nur einer der beiden Schlüssel geheim bleiben muß. Deshalb unterscheidet man zwischen einem "private key" und einem "public key". Der "public key" liegt in den Händen einer vertrauenswürdigen Organisation, die ihn veröffentlicht. Die Vertraulichkeit von Daten wird dadurch erreicht, daß sie mit dem "public key" des Empfängers verschlüsselt werden. Da nur dieser den entsprechenden "private key" kennt, ist der Empfänger der einzige, der das Chiffrat entschlüsseln kann. Die Echtheit von Daten weist der Sender umgekehrt dadurch nach, daß er sie mit seinem "private key" verschlüsselt, der ja nur ihm bekannt ist. Der Empfänger kann den Sender identifizieren, in dem er seine Meldung mit dessen "public key" entschlüsselt.
Am interessantesten ist es, die Vorteile beider Verfahren zu kombinieren: Mit Hilfe eines asymmetrischen Verfahrens legen die Kommunikatoren einen gemeinsamen Geheimschlüssel fest, den sie anschließend für die symmetrische Chiffrierung verwenden. Dadurch fällt einerseits die Schlüsselverwaltung weg, andererseits bleibt für die eigentliche Chiffrierung die Effizienz des symmetrischen Verfahrens erhalten.
Im WAN-Bereich ist es wegen der nicht allzu hohen Leitungsgeschwindigkeit technisch einfach, den gesamten Datenverkehr zu verschlüsseln. Dazu gibt es spezielle Hardwaregeräte, wobei auch eine Softwareverschlüsselung in Frage kommt. Auch Verfahren für eine Paketchiffrierung in offenen X.25- und TCP/ IP-Netzen sind bereits erhältlich. Im LAN-Bereich ist dies wegen der hohen Bandbreite nicht so leicht realisierbar. Im LAN besteht zusätzlich die Gefahr, daß ein Broadcast-Verfahren zur Anwendung kommt. Alle Meldungen sind dann nämlich überall auf dem LAN abhörbar. Kritisch ist dabei der Schutz der Paßworte.
Eine Möglichkeit der Risikominderung im LAN besteht deshalb darin, konsequent alle Paßworte zu chiffrieren oder nur noch Einmalpaßworte zu ver- wenden. Dabei stellen die Terminalemulatoren das größte Problem dar, weil sie in der Regel eine Paßwortverschlüsselung nicht unterstützen. Ein weiteres Verfahren zur Verringerung der Risiken besteht in der Segmentierung von LANs unter Einsatz von Switches und Routern. Der freie Datenverkehr in offenen Netzen kann durch den Einsatz von Filtern eingeschränkt werden. Allerdings schaden die Filter der Netzperformance und schaffen ein zusätzliches administratives Problem. Der Einsatz von Netz-Filtern ist deshalb sorgfältig abzuwägen und bewußt zu planen.
Es ist weiterhin ratsam, den Datenverkehr zwischen Knoten in offenen Netzen zu autorisieren. Dabei geht es speziell um den Datenaustausch zwischen unterschiedlichen Sicherheitsdomänen. Dies nützt allerdings nur dann etwas, wenn sich die im Datenverkehr beteiligten Knoten gegenseitig wirksam identifizieren können und sich gegen Maskerade (Mißbrauch einer fremden IP-Adresse) schützen. "Kerberos" stellt ein Verfahren dar, bei dem mittels eines zentralen Authentisierungsservers sogenannte Sicherheitstokens vergeben werden. Die Schweizerische Bankgesellschaft hat demgegenüber ein dezentrales Verfahren entwickelt, das auf einer RSA-Chipkarte basiert, die in jedem Knoten im Netz vorhanden sein muß. Die Authentibox erlaubt eine starke Authentisierung zwischen allen Knoten im Netz als Voraussetzung für einen sicheren Datenaustausch. Dazu war es nötig, das offene Filetransferprotokoll FTP mit einer Sicherheitsshell zu versehen, welche eine Sicherheitsprüfung vornimmt. Auf diese Weise gelingt es, zwischen den verschiedenen Servern im offenen Netz sichere virtuelle Kanäle aufzubauen.
Beim Schutz der Datenträger steht primär der physische Schutz im Vordergrund. Es ist zu verhindern, daß beschriebene Datenträger in unautorisierte Hände gelangen. Der gute physische Schutz von Rechnern mittels speziell geschützer Räume oder abschließbarer Schränke ist eine der wichtigsten Präventivmaßnahmen. Dazu gehört auch die Praxis, schützenswerte Daten grundsätzlich nicht auf Arbeitsstationen auszulagern, sondern nur auf Servern zu speichern. Einen kritischen Aspekt stellt aber auch die Entsorgung sowie die Reparatur von Datenträgern dar. Alle Datenträger müssen vor deren Weitergabe an Dritte sicher gelöscht werden.
Eine weitere Schutzmöglichkeit besteht in der Datenchiffrierung. Diese ist immer dann anzuwenden, wenn die Daten entweder speziell schützenswert sind (zum Beispiel Paßworte) oder ein Datenträger leicht zu stehlen ist, wie im Falle von Laptops oder Notebooks.
Im Zusammenhang mit dem immer weiter verbreiteten Enduser-Computing entsteht ein neues Problemfeld: Endbenutzer verlangen den freien Zugang zu Daten, um mit Hilfe von komfortablen, flexiblen Enduser-Sprachen sich selbst beliebige Auswertungen zusammenzustellen. Dies widerspricht grundsätzlich den Anforderungen an einen kontrollierten Datenzugriff. Eine Lösung kann dadurch gefunden werden, indem die Datenträger in sichere und unsichere Bereiche unterteilt werden.
Während in den sicheren Bereichen strikte Zugriffs- und Schutzkontrollen wirksam sind und vom Systembetreiber garantiert werden können, übergibt man im unsicheren Bereich die gesamte Schutzverantwortung einem formell autorisierten Endbenutzer.
Dieser ist dann selbst dafür verantwortlich, seine Daten entweder zu chiffrieren, nach Gebrauch zu löschen oder sicher aufzubewahren. Gedanklich ist es dann dasselbe, als wenn man einem Benutzer eine vertrauliche Liste übergibt und ihm damit die Verantwortung aufbürdet, diese Liste vor Mißbrauch zu schützen. Das Heikle daran ist der Übergang vom sicheren in den unsicheren Datenbereich. Die Schweizerische Bankgesellschaft wendet dazu den sicheren Filetransfer an, wobei die Daten zuerst in eine spezielle "Filebox" abgelegt werden. Aus dieser holt ein autorisierter Benutzer seine Daten gegen "Quittung" (Logeintrag) ab. Durch einen solchen kontrollierten Datenaustausch ist die Verantwortung zwischen Systembetreiber einerseits und autorisiertem Benutzer andererseits klar getrennt.
Zugriff nur mit Chipkarte
Alle Zugriffsautorisierungen setzen eine sichere Identifizierung des Zugriffsberechtigten voraus. Dazu werden heute in der Regel recht unsichere Paßwortverfahren angewendet. Eine Verbesserung stellt hier beispielsweise das von der Schweizerischen Bankgesellschaft entwickelte "Secure Single Sign On" dar. Das Verfahren basiert auf derselben Chipkartenlösung, wie die Knotenidentifizierung, wobei diese durch ein "Scripting" so erweitert wurde, daß sich der Benutzer um die verschiedenen Sign-on-Prozeduren der unterschiedlichen Systeme und Applikationen nicht mehr zu kümmern braucht. Nachdem sich ein Berechtigter mittels eines Paßwortes gegenüber seiner Chipkarte authentisiert hat, laufen seine in Scripts enthaltenen Login-Dialoge anschließend automatisch ab. Sofern es die betroffenen Systeme zulassen, können dabei auch sichere Einmalpaßwort-Verfahren zum Einsatz kommen.
Abschließend bleibt anzumerken, daß zwischen Flexibilität, Kosten und Sicherheit ein grundlegender Zielkonflikt besteht. Es können nicht alle Ziele gleichzeitig maximiert werden. Vielmehr geht es darum, fallweise das geeignete Optimum zu finden. Auf dem Gebiet der Sicherheit besteht wohl die größte Herausforderung darin, das Risiko richtig abzuschätzen und daraus das angemessene Maßnahmenpaket abzuleiten.
Kurz & bündig
Offene Netze und Sicherheit? Ein scheinbar unlösbarer Zielkonflikt, der aber bei einer genauen Analyse der Anforderungen durchaus zu lösen ist. In einem ersten Schritt sollten die Daten in Sicherheitsklassen eingestuft und mögliche Bedrohungsszenarien durchgespielt werden. Dabei sind auch die eigenen Mitarbeiter und die Lücken der weitverbreiteten Betriebssystem-Plattformen DOS und Unix nicht zu vergessen. Die Schutzmaßnahmen richten sich dann nach der jeweiligen Security-Kategorie. Neben der räumlichen, baulichen Trennung von Servern über Verschlüsselungsverfahren bis hin zu Chipkarten kommen dann alle gängigen Methoden zum Einsatz.
*Urs Osann ist Hauptabteilungsleiter EDV-Systementwicklung und Betrieb bei der Schweizerischen Bankggesellschaft.