Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

8 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 7 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Betreiber des Systems, Wartungsdienst, Produzenten des Systems, Entwerfer des Systems, Produzenten der Entwurfs- und Produktionshilfsmittel, Entwerfer der Entwurfs- und Produktionshilfsmittel, Produzenten der Entwurfs- und Produktionshilfsmittel der Entwurfs- und Produktionshilfsmittel, Entwerfer der ... zu unterscheiden, vgl. Bild 1-3. Es sei darauf hingewiesen, daß es natürlich auch bei allen oben aufgeführten Produzenten und Entwerfern wiederum Benutzer, Betreiber und Wartungsdienst ihres Systems gibt. Auch hiervor ist ggf. zu schützen. Symbolerklärungen Rechner Der in [ZSI_89, ITSEC2d_91] verwendete Begriff unbefugt muß sehr weit verstanden werden, denn sonst sind die obigen drei Bedrohungen unvollständig: Der Ausfall beispielsweise eines Transistors kann durchaus Informationen modifizieren oder die Funktionalität beeinträchtigen, ja sogar einen Verlust der Vertraulichkeit bewirken. Ob er aber nach allgemeinem Sprachgebrauch ein unbefugtes Ereignis mit unbefugten Folgen darstellt, ist unklar. Denn Befugnisse werden im allgemeinen nur Instanzen mit Verantwortung, also Menschen, übertragen. Instanzen ohne Verantwortung können dann nicht unbefugt handeln, also auch nichts Unbefugtes bewirken. Die Beeinträchtigung der Funktionalität muß auf die berechtigten Nutzer bezogen werden. Andernfalls wäre, wenn ein IT-System von Unbefugten intensiv genutzt wird, seine Funktionalität zwar nicht beeinträchtigt, denn es funktioniert ja. Aber je nach Auslastung des IT-Systems durch die Unbefugten wäre die Funktionalität des IT-Systems den berechtigten Nutzern entzogen [Stel_90]. In [Stel_90] wird moniert, daß in [ZSI_89] das Schutzziel (rechtliche) Verbindlichkeit nicht aufgeführt ist. Ein ähnliches Schutzziel Zurechenbarkeit (accountability) wird später in den Kanadischen Sicherheitsbewertungskriterien [CTCPEC_92] als zusätzliches viertes eingeführt. Man kann damit manche Schutzziele prägnanter beschreiben, vgl. §1.3. Da man aber solche Bedrohungen bzw. Schutzziele auch unter Integrität fassen kann und mit möglichst wenig Bedrohungstypen auskommen sollte, bleibe ich bei der üblichen Dreiteilung. Positiv und möglichst kurz formuliert lauten die drei Schutzziele also: Vertraulichkeit = Informationen werden nur Berechtigten bekannt. Programm Integrität = Informationen sind richtig, vollständig und aktuell oder aber dies ist erkennbar nicht der Fall. Verfügbarkeit = Informationen sind dort und dann zugänglich, wo und wann sie von Berechtigten gebraucht werden. A benutzt B, um C zu entwerfen. A C Hierbei ist „Information“ jeweils in einem weiten und umfassenden Sinn gemeint, so daß Daten und Programme, aber auch Hardwarestrukturen8 subsumiert werden. Damit das Reden von „Berechtigten“ Sinn macht, muß zumindest außerhalb des betrachteten IT- Systems geklärt sein, wer in welcher Situation wozu berechtigt ist. Schließlich sei angemerkt, daß sich „richtig, vollständig und aktuell“ jeweils nur auf das Innere eines betrachteten Systems beziehen kann, da das Zutreffen von dessen Bild von seiner Umwelt nicht innerhalb des betrachteten Systems klärbar ist. B 1.2.2 Vor wem ist zu schützen? Maschine X führt Programm Y aus Y X ✍ Bild 1-3: Menschen benutzen Rechner und Programme, um weitere Programme und Rechner zu entwerfen Einerseits wirken auf jedes und in jedem technischen System die Naturgesetze und, wenn man es nicht davor schützt, auch die Naturgewalten. Ersteres bedeutet, daß Bauteile altern und schließlich nicht mehr wie vorgesehen funktionieren. Zweiteres bedeutet, daß Vorkehrungen gegen Überspannung (Blitzschlag, EMP), Spannungsausfall, Überschwemmung (Sturmflut, Wasserrohrbruch), Temperaturänderungen etc. zu treffen sind. Um beides kümmert sich das Fachgebiet Fehlertoleranz [Echt_90]. Andererseits können Menschen, sei es aus Unfähigkeit oder Nachlässigkeit, sei es bewußt unbefugt handelnd, auf das System unerwünscht einwirken. Gemäß ihrer Rolle in Bezug auf das IT- System ist es sinnvoll, Außenstehende, Benutzer des Systems, Während es allgemein üblich ist, Außenstehenden und Benutzern des betrachteten IT-Systems zu mißtrauen und deshalb zu versuchen, sich gegen ihre unbewußten Fehler und bewußten Angriffe zu schützen, ist dies bezüglich der anderen Rollenträger (insbesondere auch dem Einfluß weiterer IT- Systeme) weitgehend nicht der Fall. Dies ist, wie gleich begründet wird, eine schwerwiegende 8 Da Abläufe – sprich Funktionalität – statt durch Programme auch durch Hardwarestrukturen beschrieben werden können, ist dies nötig.
10 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 9 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Ein Systemteil ist ein Trojanisches Pferd, wenn er unter Ausnutzung der ihm anvertrauten Daten und Rechte mehr als das von ihm Erwartete9 oder von ihm Erwartetes falsch oder nicht tut10 , vgl. Bild 1-5. Etwa könnte ein Editor die ihm eingegebenen Daten nicht nur in einer Datei seines Benutzers abspeichern, sondern noch an den Programmierer des Editors weitergeben. Hierzu benötigt das Trojanische Pferd einen verborgenen Kanal11 (covert channel) [Cove_90, Denn_82, Lamp_73, Pfit_89 Seite 7, 18]. Kann in unserem Beispiel der Editor als verborgenen Kanal keine zweite Datei benutzen (in vielen Rechnern könnte er das), so kann er etwa seinen Verbrauch an Betriebsmitteln (Speicherbelegung, CPU-Zeit) modulieren, was von anderen Prozessen wahrgenommen werden kann. Leider sind keine brauchbaren Verfahren bekannt, alle Trojanischen Pferde zu finden oder deren Existenz im untersuchten Systemteil auszuschließen. Im wesentlichen ist man hier auf das „Hinschauen mit bloßem Auge“ angewiesen (was bei der heutigen Komplexität von Rechnern fast genausogut mit geschlossenen Augen geschehen kann). Die Bandbreite selbst mancher bekannter verborgener Kanäle läßt sich ohne drastischen Mehraufwand nicht beliebig verkleinern. Die höchste Qualitätsanforderung der IT-Sicherheitskriterien läßt ohne Begrenzung der Anzahl der bekannten verborgenen Kanäle eine Bandbreite pro verborgenen Kanal von 1 bit/s zu [ZSI_89 Seite 96]. Nehmen wir an, ein Angreifer kann sich von einem Trojanischen Pferd „nur“ 1 bit/s übertragen lassen: Dann erhält er innerhalb eines Jahres ca. 4 MByte Daten. Glücklicherweise kann durch den Einsatz von Diversität, d.h. der Entwurf wird durch mehrere unabhängige Entwerfer mit unabhängigen Hilfsmitteln mehrfach durchgeführt, unter plausiblen Annahmen die Bandbreite auf exakt 0 bit/s verkleinert werden [Cles_88]. Allerdings ist der Aufwand hierfür beträchtlich. Sicherheitslücke. Denn nicht nur unbewußte Fehler, auch bewußte Angriffe können sich entlang der Entwurfs- und Produktionslinie fortpflanzen. In Bild 1-4 muß beispielsweise mitnichten der Mensch oben schuld sein, wenn der rechnerunterstützt entworfene Rechner fehlerhaft ist. Wie in Bild 1-4 eingezeichnet, könnten es auch der Mensch ganz unten oder der Rechner unten rechts sein. Natürlich kämen auch die anderen beiden Menschen und der Rechner in der zweiten Ebene in Betracht. Symbolerklärungen Rechner Programm A benutzt B, um C zu entwerfen. C A B Maschine X führt Programm Y aus Y X Fehler- / Angriffsausbreitung ✍ 9 In der Literatur wird ein Trojanisches Pferd oft als ein Programm definiert, das „neben seiner vorgeblichen eigentlichen Funktion eine weitere, nicht dokumentierte Zusatzfunktion ausführt“. Neben der unnötigen Beschränkung auf Programme sowie Zusatzfunktion ist diese Definition unglücklich: Zu jeder Programmfunktion gibt es mindestens eine Dokumentation, in der jede Einzelheit enthalten ist: den Programmcode selbst [Dier3_91]. 10 Diese Definition mag auf den ersten Blick zu allgemein erscheinen, da in ihr Absicht oder böser Wille eines Urhebers des Trojanischen Pferdes nicht gefordert wird, während die Griechen laut Homer bei der Konstruktion und Nutzung des hölzernen Trojanischen Pferdes vor den Toren Trojas durchaus bewußt planvoll gehandelt haben. Für das hier eingeführte, erweiterte Verständnis Trojanischer Pferde spricht Zweierlei: 1. Das Kriterium, ob hinter einer vorhandenen Funktionalität eines Systemteils Absicht oder gar böser Wille steckt, wäre nicht zu entscheiden – eine auf diese Eigenschaften abstellende Definition also informatisch nicht handhabbar. (Hiervon unberührt bleibt, daß für die moralische und ggf. auch strafrechtliche Verwerflichkeit einer Handlung Absicht und böser Wille durchaus relevant und daher auch Gegenstand der Urteilsbildung sind.) 2. Für die Auswirkungen einer unerwarteten Funktionalität eines Systemteils ist es unerheblich, ob sie absichtlich oder gar in böser Absicht geschaffen wurde. Allenfalls, ob sie absichtlich und in böser Absicht nutzbar sowie potentiellen Tätern mit Motiv bekannt ist, ist für die Auswirkungen relevant. 11 In der Literatur sowie hier werden die Namen verborgener Kanal und verdeckter Kanal bedeutungsgleich verwendet. Bild 1-4: Transitive Ausbreitung von Fehlern und Angriffen Die besonders hohe Komplexität heutiger IT-Systeme verhindert eine genügend rigorose Kontrolle der Systeme selbst. Deshalb müssen auch ihre Produzenten und Entwerfer, seien es Menschen oder wiederum (irgendwann auch von Menschen geschaffene) IT-Systeme, als mögliche Angreifer, d.h. unbefugt Handelnde, betrachtet werden. Beispielsweise könnten sie in den von ihnen entworfenen oder produzierten Systemteilen Trojanische Pferde [Home_??] verstecken:
Seite 1 und 2: A. Pfitzmann: Datensicherheit und K
Seite 3 und 4: VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6: X A. Pfitzmann: Datensicherheit und
Seite 7 und 8: 2 A. Pfitzmann: Datensicherheit und
Seite 9: 6 A. Pfitzmann: Datensicherheit und
Seite 13 und 14: 14 A. Pfitzmann: Datensicherheit un
Seite 57 und 58: 102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60: 106 A. Pfitzmann: Datensicherheit u
Seite 61 und 62:
110 A. Pfitzmann: Datensicherheit u
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Seite 165 und 166:
Seite 167 und 168:
Seite 169 und 170:
Seite 171 und 172:
Seite 173 und 174:
Seite 175 und 176:
Seite 177 und 178:
Seite 179 und 180:
Seite 181 und 182:
Seite 183 und 184:
Seite 185 und 186:
Seite 187 und 188:
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?