Big Blues Betriebssysteme VM und MVS haben sich bisher in der Sicherheitshierarchie des Orange Book noch nicht sehr hochdienen können. Sie liegen im Mittelfeld B1. Ein durchgängiges Sicherheitskonzept mit entscheidender Beteiligung von Chipkarten soll dem Manko abhelfen. CW-Mitarbeiter Egon Schmidt geht im folgenden ins MVS- und VM-Sicherheitsdetail.

Das IBM-Konzept umfaßt im Außenbereich zunächst Elemente wie etwa die physische Sicherung und Kontrolle des Zugangs, ferner Maßnahmen gegen Feuer, Wasser und andere äußere Einwirkungen sowie ein System der Vorsorge gegen Katastrophen.

Zur inneren Sicherheit gehören maschinelle wie programm-technische Vorkehrungen, die den Schutz wertvoller Ressourcen - wie Programme, Daten und Bibliotheken etc. - gewährleisten und zu denen beispielsweise auch spezielle Sicherungsprogramme gehören. Ferner sind Zugriffskontrollen einzurichten und schon beim Entwickeln neuer Anwendungsprogramme sind gezielte Sicherheitsmaßnahmen geboten, die beispielsweise als Programmcode-Inspektionen oder auch als strikte Funktionen-

Trennung zwischen Entwicklern neuer Programme einerseits und Code-Prüfern andererseits in Erscheinung treten sollten.

Bei diesem Konzept gelte weiterhin, so der IBM-Sicherheits-Experte Gernot Wichmann, daß "der Endbenutzer als ,Eigentümer' von Anwendungsprogrammen und Daten" betrachtet wird, der selber "den Grad der Vertraulichkeit bestimmt und festlegt, wer Zugriff haben darf". Und außerdem sei im Interesse der perfekten Einbindung des Konzepts klar: Informationssicherung ist Aufgabe des Managements - und deshalb muß sie von der Leitung des Unternehmens getragen werden."

Steigt man von dieser hohen Warte nun hinab auf die Ebene der konkreten Einzelheiten, so sieht man sich aufgefordert, auf zwei Haupt-Komponenten zu achten. Nämlich einmal auf die organisatorischen Grundsätze zur Sicherung der Informationen und zweitens auf die Integrität der Betriebsysteme. Wobei letztere "Systemintegrität" nichts anderes bedeute, daß "kein Anwendungsprogramm in den Bereich des Betriebssystems gelangen" könne. Und daß mithin selbst dann "nicht möglich" sei, "am Betriebssystem widerrechtlich Veränderungen vorzunehmen", wenn man dem Rechner "mit viel ,Know-how' und speziellen ,Werkzeugen"' zu Leibe zu rücken versuche.

Datenintegrität ist ein Muß!

Neben trivialen Sicherheits-Elementen wie Benutzerkennungen, Losungswörter und Zugriffskontrollen, die die - mehrdimensional abgestuften und sektoral variierenden - Zugriffsberechtigungen der einzelnen Personen auf Daten, Programme und Bibliotheken überwachen, sind auch Aspekte wie etwa die Verschlüsselung der Daten wesentlich. Dabei lautet das Ziel ganz allgemein, die "Integrität" der Daten sicherzustellen; also zu garantieren, daß Daten "in Originalform gehalten und nicht widerrechtlich verändert werden".

Im Interesse der besseren Orientierung im komplexen Aufgabengebiet der Sicherheits-Technik und -Konzepte unterscheiden Experten heute gern auch zwischen Objektschutz und Zugriffskontrolle. Dabei kontrolliere die erste dieser beiden "Stufen" die einzelnen Ressourcen beziehungsweise die Objekte wie etwa Programme und Daten, kann man sich in Mainz erklären lassen, während die zweite den Rechner selber, das Betriebssystem oder das entsprechende Subsystem vor Eindringlingen abzuschirmen habe. Dabei dienen Benutzerkennung und Losungswort (Paßwort) hier als primäre Barrieren, während zusätzliche Sicherheit erlangbar ist, wird auch noch die jeweilige Terminal- Kennung - so es sie überhaupt gibt - abgefragt.

Hardware-Blöcke mit Speicherschutz-Schlüsseln

Beim Schutz der lebensnotwendigen Rechner-Ressourcen eines Unternehmens, so konkretisiert IBM-Mitarbeiter Erich Kiefer das bisher Skizzierte, "müssen verschiedene Komponenten wie zum Beispiel die Hardware, das Betriebssystem und die Sicherungs-Software zusammenspielen". Es müsse also beispielsweise der gesamte Speicher eines Systems schon von der nackten Elektronik her ("hardwaremäßig") in Blöcke aufgeteilt sein, zu denen dann jeweils ein sogenannter Speicherschutz-Schlüssel gehöre. Und dieser Schlüssel wiederum lege dann erstens fest, "ob der Inhalt des momentan gespeicherten Blocks zu einem Anwendungsprogramm gehört, oder aber zum Betriebssystem, auf das ein Anwendungsprogramm normalerweise ja keinen Zugriff hat". Und außerdem lege der Schlüssel natürlich auch fest, ob der Inhalt dieses Blocks "verändert oder aber nur gelesen werden" kann.

Mit Blick auf die konkreten Betriebssysteme seines Hauses bemerkte Kiefer, MVS ordne jedem Benutzer einen Adreßraum zu, in dem, so lange die Verarbeitung läuft, sowohl sein Programm als auch seine Daten gespeichert sind. Doch die Adreßräume der einzelnen Benutzer seien voneinander isoIiert und Manipulationen zwischen ihnen mithin "nicht

mögIich" .

Bei MVS/ESA hingegen seien die Adreßräume von den Datenräumen getrennt. Dadurch könnten "mehrere Berechtigte gleichzeitig auf Daten zugreifen", doch hätten sie keine MögIichkeit, "in den Adreßraum des Benutzers zu verzweigen".

Der "Eigentümer" der Daten hat das Sagen

Der gezielten Einrichtung bestimmter Sicherheitsfunktionen dient für die IBM- Betriebssysteme VM und MVS nun ganz speziell noch RACF, die Resource Acces Control Facility, wie Kiefer weiter erläuterte. Sie orientiert sich am "Eigentümer-Konzept", das die Verantwortung für eine bestimmte Ressource wie etwa Daten oder Programme festlegt, kennt bestimmte Gruppenstrukturen für Benutzer und Ressourcen und dient natürlich auch der Zugriffskontrolle sowie der Protokollierung und Auswertung aller beobachteten Vorkommnisse.

Im Rahmen von RACF bedeutet die Eigenschaft, "Eigentümer" von Daten zu sein, unter anderem konkret: man erteilt Aufträge zur Programmierung und darf Zugriffsberechtigungen für einzelne Benutzer vergeben. Eigentümer von Ressourcen hingegen, also beispielsweise der RACF-Verwalter, legen "für jeden Benutzer, der Zugriff zum Betriebssystem oder Subsystem haben soll, in jeder RACF-Datei ein Benutzerprofil mit Informationen über den Benutzer an."

Wie weit derartige Sicherheits-Konzepte alles hinter sich lassen, was heute etwa im Bereich der gängigen PC-Installationen üblich und erreichbar sein mag, illustrieren ein paar Beispiele aus der neuesten RACF-Version.

So ist jetzt beispielsweise Standard, daß in den Anmeldeprozeß die Konsoloperatoren durch "Eingabe ihrer Benutzerkennung und ihres Paßworts eingebunden" werden und daß der Konsoloperator "in seinem Befehlsumfang auf das Maß beschränkt" wird, das er "für die Ausübung seiner Aufgabe benötigt". Wobei der Bearbeitungsvorgang außerdem natürlich protokolliert und somit auswertbar wird.

Konnten bisherige IBM-Systeme außerdem bloß festlegen, "von welchem Terminal aus ein Benutzer eine interaktive Sitzung starten kann", so ist nunmehr auch eine Kontrolle darüber möglich, "welcher Benutzer von welcher entfernten Eingabestation" denn eigentlich "Ergebnisse abrufen kann und darf".

In ausgesprochenen Groß-Installationen mit mehreren Rechenzentren "mußte die Identifikation des Benutzers bisher in jedem der Zentren definiert und gepflegt werden", skizziert Kiefer eine weitere Neuheit. Künftig indes werde die Benutzerkennung "nach Überprüfung des Benutzers durch das System" und "während des DV-Ablaufs" in eine "andere Installation zur Ausführung der Arbeit übertragen". Doch die Arbeit werde dann eben nur noch in jenen Fällen "erfolgreich ausgeführt", in denen "die Benutzerkennung im RACF-Ressourcen-Profil der angesprochenen Dateien aufgeführt" sei; und zwar "mit der entsprechenden Bearbeitungsform" wie also beispielsweise Lesen oder Verändern.

War es bisher noch möglich, daß ein Operator vertrauliche Listen aus Versehen auf Druckern ausgeben ließ, die in einer mehr oder weniger frei zugänglichen Zone aufgestellt sind, so wird jetzt stets erst das sogenannte Sicherheits-Label der fraglichen Datei an den Drucker weitergegeben und dann "die Maske für die auszudruckende Liste - wie beispielsweise ,vertraulich' - ausgewählt und automatisch auf jede Seite aufgedruckt". Außerdem könne man jetzt auch "Drucker für die Klassifizierung zuordnen" und sie mithin dann "in gesicherten Räumen, die der Klassifizierung entsprechen, aufstellen."

Hat man die bekannten, kurzlebigen "temporären Dateien" als simple Speicher für Zwischendateien bisher einfach nicht weiter beachtet, so werden künftig nun auch sie - wie alle Dateien - mit dem erwähnten Sicherheits-Etikett versehen. Damit wird - und dies übrigens auch bei Druck-Dateien - erreicht, daß nur noch Menschen mit entsprechendem Benutzerprofil diese Dateien bearbeiten beziehungsweise ausdrucken lassen können

In Verbindung mit dem Thema Sicherheit ist - jeder Besitzer einer Scheckkarte kennt das Problem - eine der größten Schwierigkeiten der richtige Umgang mit Kennzahlen, Losungsworten und so weiter; denn diese Kennwörter sollten oft geändert werden, dürfen dennoch nicht der Vergessenheit anheimfallen, sollen aber auch nirgends notiert werden, dürfen nicht trivialer Natur sein und sollten überdies eher viele als wenige Stellen umfassen.

Keine Identifizierung bei Schnupfen

Zwar gibt es heute schon Systeme der Sprach- und Unterschriften-Erkennung, Techniken zum Identifizieren von Fingerabdrücken und Augen sowie auch Einheiten, die die Geometrie der Hand automatisch vermessen können. Doch so sehr sie alle scheinbar geeignet sind, einen Menschen zweifelsfrei zu identifizieren - frei von Schwächen ist bislang keines von ihnen, weiß Kiefer.

Denn ihr Funktionieren hänge in einem gewissen Maße "von der psychischen wie physischen Verfassung des Benutzers" ab - und somit könnten ein simpler Schnupfen, Verletzungen, Ermüdung oder auch schlichte Aufgeregtheit ihr Wirken spürbar beeinträchtigen.

Nicht zuletzt dieser Schwächen halber richtet das Augenmerk der Fachwelt sich neuerdings wieder verstärkt auf Hilfen wie etwa programmierbare Chipkarten mit eingebautem Mikroprozessor und entsprechend leistungsfähigen Verschlüsselungs-, Prüf- und Identifizierungs-Algorithmen, denn sie könnten Teile umfangreicher, allgemeiner Identifizierungs-Systeme werden.

Die höchstentwickelten Sicherheitsstufen im Bereich der Endgeräte beziehungsweise Rechenzentren sind allerdings bloß eitler Wahn, wird nicht auch, wie schon skizziert, die Abschirmung der Verbindungen zwischen ihnen sichergestellt. Denn elektronische Bank-Systeme sowie Geld- und Kassenautomaten, die elektronische Post und die Übermittlung kritischer Entwicklungs- oder auch Fertigungs-Daten innerhalb wie außerhalb von Unternehmen verlangen zwingend nach Systemen, die die unberechtigte Nutzung von DV-Ressourcen ebenso zu verhüten wissen, wie den Datendiebstahl auf Datenleitungen und das unberechtigte Modifizieren der übermittelten Bits und Bytes.

Elektronik prüft Unterschrift

Wurden Netze und Systeme laut Kiefer zumindest bei IBM bislang bloß "durch einzelne, kryptographische Produkte gesichert", so soll ein neues, spezielles Transaktions-Sicherungssystem des Mainframe-Giganten mit einer speziellen IBM-Vergangenheit Schluß machen, in der Anwendungsprogramme immer wieder eigens an die unterschiedlichsten Schnittstellen angepaßt werden mußten, in der die kryptographischen Prozessoren teilweise erst noch eigens programmiert werden mußten und in der der sichere Transport, die Ablage und die Installation wichtiger Schlüssel dennoch, wie der IBM-Mann einräumte, "mit bisherigen Produkten nur unzureichend gelöst" worden war.

Zum neuen System gehört nun als wesentliche Komponente eine individuelle Sicherheits-Chipkarte für Zwecke der Identifizierung und Autorisierung einzelner Personen, die intern mit einem Mikroprozessor sowie einem beschreib-, änder- und lesbaren Speicher bestückt ist.

Sie soll Funktionen für die ,Ende-zu-Ende'-Sicherheit beim Zugang zu einzelnen Systemen wie zu ganzen Netzen liefern" und dabei zusammen mit einem persönlichen Kennwort von mehr als vier Bytes sowie - wahlweise - auch noch einer persönlichen Unterschrift benutzt werden.

Während die neue Karte sich auch noch für den sicheren Transport von Sicherheits-Schlüsseln und deren Installation in Komponenten der Produktfamilie eignen soll, dient sie in Zusammenhang mit der Unterschriften-Prüffunktion vor allem dazu, entsprechende Referenz-Informationen zu speichern. Dabei identifiziert der Benutzer sich dann am Rechner in gewohnter Manier durch seine persönliche Unterschrift, die er mit Hilfe eines besonderen Unterschriften-Prüfstifts ablegt.

Die Frage, auf welche Daten und Programme der Betreffende dann konkret und mit welchen Einschränkungen zugreifen kann, beantworten auch in diesem System wieder die schon skizzierten, persönlichen Anwendungsprofile.

Zum neuen Sicherheits-System gehören unter anderem eine Zugangseinheit, die in Verbindung mit der Chipkarte benutzt wird, der erwähnte Unterschriften-Prüfstift, ein Sicherheitsprozessor für Rechner-Netze (NSP), ein "hochsicherer Krypto-Prozessor" als kryptographischer Adapter für Kleinrechner und ein MVS-Programm. Dabei sorgt der NSP unter anderem für das Generieren und Prüfen des sogenannten MACs (Message Authentification Code), für das "kryptographische Schlüssel-Management eigener und fremder Netze" und für das Prüfen von Kennworten sowie für das Kodieren und Dekodieren selber.

DES für das Verschlüsseln der Daten

Beim Message Authentification Code hat man es mit einem Wert zu tun, erläutert Kiefer, der direkt aus jener Nachricht heraus erzeugt wird, die übermittelt werden soll. Er wird - ähnlich wie bei einem von der Bonner Gesellschaft für Mathematik und Datenverarbeitung (GMD) (siehe auch "Neutraler ,Vertrauensträger' überwacht Beziehungseffekt" auf Seite 38) entwickelten System - dann mit der Nachricht zusammen übertragen und am Zielort vom MSP nochmals neu gebildet; und anschließend werden dieser neu gebildete und der schon mit der Nachricht übertragene Wert auf Gleichheit geprüft, wobei dann gilt: Sollte es auch nur bei einem Bit eine Differenz geben, so war entweder die Datenübertragung selber fehlerhaft - oder es hat einer an den Bits und Bytes manipuliert.

Zum Verschlüsseln der einzelnen Nachrichten etc. bedient das neue System sich des bekannten Data-Encryption-Standards (DES) der USA, der von Kennern allerdings als nicht absolut sicher eingestuft wird. Denn hier sollen, wird hin und wieder erinnert, moderne Supercomputer mit ihrer frappanten Leistung durchaus in der Lage sein, hinter den Schleier des sorgsam Kodierten zu blicken.

Zukunftsmusik bei Big Blue: Der Blaue Riese will in jedes seiner " strategischen Systeme" auch künftig Sicherheitsfunktionen einbinden, die Systemintegrität gewähren, das Vergeben von Zugriffsberechtigungen erlauben und Zugriffe protokollieren sollen. Ebenso wurden Funktionen versprochen, die im bekannten "Orange Book" als Anforderungen festgeklopft sind. +