Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
270<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
269<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Beispielsweise wird von CCITT bei X.25 das Teilnehmerendgerät DTE (Data Term<strong>in</strong>al Equipment)<br />
<strong>und</strong> der Netzabschluß DCE (Data Circuit-term<strong>in</strong>at<strong>in</strong>g Equipment) genannt [Tane_81, Tane_88],<br />
bei ISDN heißt das Teilnehmerendgerät TE (Term<strong>in</strong>al Equipment) <strong>und</strong> der Netzabschluß NT<br />
(Network Term<strong>in</strong>ation) [ITG_87, Tane_88].<br />
5.6 Netzmanagement<br />
Sofern es e<strong>in</strong>en Netzbetreiber geben <strong>und</strong> dieser für die Dienstqualität verantwortlich se<strong>in</strong> soll, so<br />
sollte aus Gründen der Überprüfbarkeit der <strong>Sicherheit</strong> (<strong>in</strong>sbesondere der Vertraulichkeit) der Funktionsumfang<br />
der Netzabschlüsse möglichst kle<strong>in</strong> se<strong>in</strong>, damit ihr Entwurf, ihre Produktion, ihre Installation<br />
<strong>und</strong> ihr Betrieb möglichst rigoros öffentlich überprüft werden können. Damit sollte es auch<br />
bezüglich der Überprüfbarkeit von Anonymität, Unbeobachtbarkeit <strong>und</strong> Unverkettbarkeit akzeptabel<br />
se<strong>in</strong>, daß e<strong>in</strong> oder wenige Lieferanten die Netzabschlüsse liefern, <strong>und</strong> die Qualität ihrer Produkte vom<br />
Netzbetreiber anerkannt wird. Die Lieferanten haben ihre Entwürfe <strong>in</strong>kl. aller Entwurfshilfsmittel <strong>und</strong><br />
Entwurfskriterien zu veröffentlichen. Konsumenten- oder Bürgervere<strong>in</strong>igungen wie beispielsweise<br />
die „Stiftung Warentest“ sollten <strong>in</strong> den Netzabschlüssen (wie auch <strong>in</strong> den Teilnehmerendgeräten) kont<strong>in</strong>uierlich<br />
nach Trojanischen Pferden suchen. Dies ist hauptsächlich zu Beg<strong>in</strong>n aufwendig, wenn die<br />
Entwurfshilfsmittel <strong>und</strong> vor allem die Entwürfe überprüft werden müssen. Die Kontrolle der unveränderten<br />
Produktion dürfte wesentlich e<strong>in</strong>facher se<strong>in</strong>.<br />
Netzabschlüsse dürften nur wenige <strong>in</strong>tegrierte digitale Schaltkreise <strong>und</strong> analoge Sender- <strong>und</strong><br />
Empfänger-Bauste<strong>in</strong>e umfassen. Entsprechend sollte Wartung bzw. Reparatur (<strong>und</strong> anschließende<br />
Überprüfung) selten se<strong>in</strong>. Insbesondere besteht ke<strong>in</strong>e Notwendigkeit für Fernwartung, d.h. die<br />
Fähigkeit des Herstellers oder Netzbetreibers, die Software des Netzabschlusses per Zugriff über das<br />
Kommunikationsnetz modifizieren zu können, wie dies bei den heutigen Vermittlungszentralen vorgesehen<br />
<strong>und</strong> (wegen bei der Auslieferung noch nicht gef<strong>und</strong>enen, geschweige denn korrigierten Entwurfsfehlern<br />
oder e<strong>in</strong>er großen Zahl möglicher Hardwareausfälle) wohl auch nötig ist. Wie <strong>in</strong> §5<br />
erläutert wurde, können Hersteller mittels Fernwartung Trojanische Pferde beliebig <strong>in</strong>stallieren <strong>und</strong><br />
die von ihnen e<strong>in</strong>gebauten beliebig beseitigen. Dies gilt dann nicht, wenn Fernwartung nur <strong>in</strong> der sehr<br />
e<strong>in</strong>geschränkten Form der Fernabfrage möglich ist: Hierbei können per Zugriff über das Kommunikationsnetz<br />
ke<strong>in</strong>e Programme modifiziert, sondern nur vor Ort vorhandene Diagnoseprogramme<br />
gestartet <strong>und</strong> ihre Ergebnisse entgegengenommen werden. Der Zweck der Fernabfrage ist, daß e<strong>in</strong><br />
Wartungstechniker gezielt Ersatzteile mitnehmen kann. Sicherzustellen, daß Fernwartung auf Fernabfrage<br />
beschränkt ist, ist allerd<strong>in</strong>gs das bereits <strong>in</strong> §1.2 <strong>und</strong> §5 dargestellte Problem des Ausschließens<br />
Trojanischer Pferde.<br />
In diesem Kapitel wird zunächst <strong>in</strong> §5.6.1 diskutiert, wer welche Teile des Kommunikationsnetzes<br />
(errichten sowie) betreiben <strong>und</strong> entsprechend die Verantwortung für die Dienstqualität übernehmen<br />
sollte.<br />
Danach wird <strong>in</strong> §5.6.2 skizziert, wie e<strong>in</strong>e Abrechnung der Kosten für die Benutzung des Kommunikationsnetzes<br />
mit dem Betreiber ohne Untergraben von Anonymität, Unbeobachtbarkeit <strong>und</strong> Unverkettbarkeit<br />
sicher <strong>und</strong> komfortabel erfolgen kann.<br />
Die Bezahlung von über das Kommunikationsnetz erbrachten (höheren) Diensten kann mittels<br />
e<strong>in</strong>es beliebigen digitalen Zahlungssystems erfolgen, was <strong>in</strong> §6 dargestellt wird.<br />
5.6.1 Netzbetreiberschaft: Verantwortung für die Dienstqualität vs.<br />
Bedrohung durch Trojanische Pferde<br />
In den folgenden Unterabschnitten wird beschrieben, welchen Funktionsumfang die Netzabschlüsse<br />
bei den verschiedenen Gr<strong>und</strong>verfahren zum Schutz der Verkehrs- <strong>und</strong> Interessensdaten aufweisen<br />
müssen. Bild 5-48 gibt e<strong>in</strong>en Überblick.<br />
Bezüglich Netzbetreiberschaft <strong>und</strong> Verantwortung für die Dienstqualität besteht folgendes Dilemma<br />
[Pfi1_85 Seite 129]:<br />
Verwendet jeder e<strong>in</strong>e beliebige Teilnehmerstation (was man sich bis hierher, da nichts anderes<br />
explizit gesagt wurde, vermutlich vorgestellt hat), so wird ke<strong>in</strong>e Organisation willens <strong>und</strong> <strong>in</strong> der Lage<br />
se<strong>in</strong>, die Verantwortung für die Dienstqualität, d.h. die von den Teilnehmern wahrnehmbare Nutzleistung<br />
<strong>und</strong> Zuverlässigkeit, zu übernehmen. Dies gilt zum<strong>in</strong>dest dann, wenn fehlerhaftes Verhalten<br />
oder ungenügende Leistung e<strong>in</strong>er Teilnehmerstation die Dienstqualität für andere Teilnehmer auch<br />
dann bee<strong>in</strong>trächtigen können, wenn diese anderen Teilnehmer nicht gerade mit dieser fehlerhaften<br />
oder ungenügend leistungsfähigen Teilnehmerstation kommunizieren wollen (weswegen ab §5.4<br />
nicht mehr von Netzbenutzern, sondern von Netzteilnehmern gesprochen wurde). E<strong>in</strong> solches „anarchisch-liberales“<br />
Netzmanagement ist zwar für die (Teilnehmer-)Überprüfbarkeit von Anonymität,<br />
Unbeobachtbarkeit <strong>und</strong> Unverkettbarkeit optimal, wegen se<strong>in</strong>er unkalkulierbaren Dienstqualität aber<br />
nur für spezielle Anwendungen, ke<strong>in</strong>esfalls aber für dienste<strong>in</strong>tegrierende Kommunikationsnetze geeignet.<br />
Es kann natürlich auf e<strong>in</strong>em beliebigen Kommunikationsnetz um den Preis ger<strong>in</strong>ger Kosteneffizienz,<br />
ger<strong>in</strong>ger Nutzleistung, ger<strong>in</strong>ger Zuverlässigkeit <strong>und</strong>, vielleicht, großen Mißtrauens durch<br />
den Rest der Gesellschaft, was se<strong>in</strong>e Teilnehmer wohl zu verbergen haben, errichtet <strong>und</strong> betrieben<br />
werden.<br />
Entwirft, produziert, errichtet <strong>und</strong> betreibt e<strong>in</strong>e Organisation andererseits sämtliche Netzkomponenten,<br />
<strong>in</strong>sbesondere auch die Teilnehmerstationen, so wird diese Organisation zwar willens <strong>und</strong> <strong>in</strong><br />
der Lage se<strong>in</strong>, die Verantwortung für die Dienstqualität zu übernehmen. Aber niemand, <strong>in</strong>sbesondere<br />
ke<strong>in</strong> Teilnehmer, kann ausschließen, daß Teile solch e<strong>in</strong>er Organisation irgendwo Trojanische Pferde<br />
<strong>in</strong>stallieren, vgl. §1.2.2. Solch e<strong>in</strong>e Organisation wäre also bezüglich <strong>Sicherheit</strong>, <strong>in</strong>sbesondere Vertraulichkeit,<br />
nicht kontrollierbar.<br />
Da jede Schutzmaßnahme, die <strong>in</strong>nerhalb des Kommunikationsnetzes angesiedelt ist, durch die Teilnehmerstationen<br />
realisiert (oder mit realisiert, z.B. Abfragen <strong>und</strong> Überlagern oder MIXe) werden<br />
muß, ist es zur Verkle<strong>in</strong>erung dieses Dilemmas s<strong>in</strong>nvoll, die Teilnehmerstation bezüglich Entwurf,<br />
Produktion, Installation <strong>und</strong> Betreiberschaft geeignet <strong>in</strong> zwei Teile zu zerlegen: Das (bzw. die)<br />
Teilnehmerendgerät(e) <strong>und</strong> den Netzabschluß.<br />
Zum Teilnehmerendgerät zählen dabei die Teile der Teilnehmerstation, die mit der Kommunikation<br />
mit anderen <strong>und</strong> der anderen Teilnehmerstationen nichts zu tun haben. Folglich kann das Teilnehmerendgerät<br />
ausschließlich unter der Kontrolle des e<strong>in</strong>zelnen Teilnehmers stehen.<br />
Zum Netzabschluß zählen all die Teile der Teilnehmerstation, die mit der Kommunikation mit<br />
anderen oder der anderen Teilnehmerstationen zu tun haben. Folglich ist der Betreiber des Kommunikationsnetzes<br />
für den Netzabschluß verantwortlich.