Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

372 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 371 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Integrität: falscher Alarm ist unkritisch, sollte aber nicht zu oft ausgelöst werden. Das Gegenteil: siehe unter Verfügbarkeit; Vertraulichkeit eines Alarms ist wenig kritisch, alle anderen Nachrichteninhalte und auch die Patienten als Sender/Empfänger müssen geschützt werden. Ausführlicher in [PfPf_92 §4.3]. d) Verfügbarkeit: unkritisch; Integrität: nicht sehr kritisch, da in kritischen Fällen sowieso ein Arzt in die Behandlung eingeschaltet werden muß. In jedem Fall sollte beim Zugriff eine Identifikation der Faktendatenbank erfolgen und geklärt sein, wer für den Inhalt der Faktendatenbank verantwortlich ist. Werden Ärzte in ihrem Urteil von solch einer Faktendatenbank abhängig, steigen die Anforderungen an die Verfügbarkeit und Integrität erheblich. Vertraulichkeit des Nachrichteninhalts und selbst der Abfrage müssen durch Anonymität gesichert werden. Ausführlicher in [PfPf_92 §4.1]. Natürlich bin ich mir der Vollständigkeit meiner Schutzziele nicht sicher! 1-7 Wo sind ab wann Rechner zu erwarten? Die Zahlen geben das Jahr an, in dem eine nennenswerte Verbreitung der rechnergestützten Komponenten (jeweils innerhalb ihrer Komponentenklasse) erfolgte oder für das sie prognostiziert wird. In nächster Zukunft müssen also auch Vermittlungszentralen, „harmlose“ Teilnehmerendgeräte und später auch Netzabschlüsse als mögliche Angreifer betrachtet werden. 1-5 Vor- und Nachteile eines digitalen Systems bzgl. Sicherheit a) Digital übertragene/gespeicherte Information kann, wenn ein Angreifer einen gewissen Minimalaufwand zu treiben gewillt ist, perfekt (= verlustlos und ohne Spuren zu hinterlassen) kopiert und spurlos geändert werden. Dies eskaliert also Probleme bzgl. Vertraulichkeit und Integrität, sofern nicht die in §3 beschriebenen, gerade durch digitale Übertragung und Speicherung ermöglichten Verschlüsselungsmaßnahmen ergriffen werden. Verfügbarkeit wird durch digitale Übertragung/Speicherung im allgemeinen unterstützt. Rechnergesteuerte Vermittlung und rechnergestützte Verarbeitung werfen einerseits, u.a. wegen der Bedrohung durch Trojanische Pferde, besondere Probleme bzgl. Vertraulichkeit, Integrität und Verfügbarkeit auf. Andererseits ermöglicht ihre große Leistungsfähigkeit andernfalls nicht durchführbare Schutzmaßnahmen, so daß bei geeigneter Systemgestaltung dieser Nachteil mehr als aufgewogen wird. Ist man sich der Korrektheit und Vollständigkeit der Schutzmaßnahmen sicher, sollten sie (und soweit bzgl. der Nutzfunktionen gleiches gegeben ist auch sie) lieber in Hardware als frei speicherprogrammierbar realisiert werden. Merke: Softwaregestützter Schutz ist meist soft! b) Aus den unter a) angeführten Gründen unterstützt die Eigenschaft digital die Konstruktion verteilter Systeme. Solange ein offenes System nicht vollständig, insbesondere abschließend, spezifiziert ist, ist rechnergesteuerte Vermittlung und/oder rechnergestützte Verarbeitung (beides frei programmierbar) notwendig, um die bestehenden Systeme ohne nennenswerten physischen Aufwand zukünftigen Entwicklungen (Spezifikationen) anpassen zu können. Aus Aufwandsgründen müssen beim heutigen Stand der Technik diensteintegrierende Systeme digitale Systeme sein. Radio Bank 1995/Hersteller 1985/Hersteller und Betreiber 1995/Hersteller Fernseher Teilnehmeranschlußleitung 1995/Hersteller Bildtelefon 1995/Hersteller und Betreiber Netzabschluß 2000/Hersteller Vermittlungszentrale 1 1995/Hersteller Telefon Bildschirmtext 1985/Hersteller und Benutzer Vermittlungszentrale 2 Teilnehmer 1 1-6 Anforderungsdefinition für vier beispielhafte Anwendungen im medizinischen Bereich a) Verfügbarkeit: mittelkritisch, solange es noch lokale Papieroriginale gibt, denn selbst bei Ausfall ist die Situation genau wie heute. Integrität: kritisch, denn niemand will auf Dauer zusätzlich in den Papierdokumenten nachschauen. Ebenso wird sie niemand von Hand aktualisieren oder auch nur regelmäßig ausdrucken wollen. Vertraulichkeit gegen fremde Ärzte: kritisch; gegen Außenstehende: extrem kritisch. Dem Patienten sind ggf. Berichtigungs- und Löschrechte einzuräumen, deren internationale Harmonisierung und Durchsetzung schwierig sein dürfte. b) Verfügbarkeit: unkritisch, solange das Operationsteam vor Ort auf den Rat nicht angewiesen ist, andernfalls extrem kritisch. Integrität: Kleine Integritätsverletzungen, z.B. einzelne Pixel falsch, sind unkritisch, größere Verletzungen, z.B. völlig falsche Bilder, wären kritisch. Damit der Patient (oder seine Rechtsnachfolger!) ärztliche Kunstfehler nachweisen können, muß auch nach Jahren noch nachgewiesen werden können, wer was gesehen und folglich welchen Rat gegeben hat. Insbesondere muß hierzu eine gerichtsverwertbare Identifikation (vgl. §2.2.1) des externen Experten erfolgen. Vertraulichkeit: Vertraulichkeit der Bilder: wenig kritisch; wird zu Beginn die Krankengeschichte übertragen, muß der Nachrichteninhalt natürlich vor unbefugter Kenntnisnahme geschützt werden. Der Schutz des Senders oder Empfängers ist überflüssig. Ausführlicher in [PfPf_92 §4.2]. c) Verfügbarkeit: mittelkritisch, da Versagen „nur“ zur heutigen Situation führt. Sofern Patienten zu Hause gelassen werden, die andernfalls im Krankenhaus wären: kritisch. 1985/Hersteller und Betreiber Teilnehmer 2 Bildschirmtextzentrale 1-8 Defizite juristischer Regelungen Die Antwort besteht aus einer Kombination der Argumente von §1.2.3 und §1.2.5: Ein Verbot ist nur dann wirkungsvoll, wenn seine Einhaltung mit angemessenem Aufwand überprüft (bei beobachtenden Angriffen prinzipiell nicht möglich) und durch Strafverfolgung gesichert und der ursprüngliche Zustand durch Schadensersatz wiederhergestellt werden kann. Beides ist bei IT-Systemen leider nicht gegeben.
374 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 373 A. Pfitzmann: Datensicherheit und Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Mehrseitige Sicherheit bedeutet die Berücksichtigung der Sicherheitsanforderungen aller beteiligten Parteien. [Rann_97] Mehrseitige Sicherheit bedeutet die Einbeziehung der Schutzinteressen aller Beteiligten sowie das Austragen daraus resultierender Schutzkonflikte beim Entstehen einer Kommunikationsverbindung. [FePf_97] Mehrseitige Sicherheit bedeutet die Einbeziehung der Schutzinteressen aller Beteiligten sowie das Austragen daraus resultierender Schutzkonflikte beim Entstehen einer Kommunikationsverbindung. Die Realisierung von mehrseitiger Sicherheit führt nicht zwangsläufig dazu, daß die Interessen aller Beteiligten erfüllt werden. Möglicherweise offenbart sie sogar gegensätzliche, unvereinbare Interessen, die den Beteiligten bisher nicht bewußt waren, da Schutzziele explizit formuliert werden. Sie führt jedoch zwangsläufig dazu, daß die Partner einer mehrseitig sicheren Kommunikationsbeziehung in einem ausgewogenen Kräfteverhältnis bzgl. Sicherheit miteinander interagieren. [Fede_98] Mehrseitige Sicherheit ist Sicherheit mit minimalen Annahmen über andere: • Jeder Beteiligte hat Sicherheitsinteressen. • Jeder Beteiligte kann seine Interessen formulieren. • Konflikte werden erkannt und Lösungen ausgehandelt. • Jeder Beteiligte kann seine Sicherheitsinteressen in den ausgehandelten Lösungen durchsetzen. [FePf_99] „Datendiebstahl“ allgemein, speziell das direkte Abhören von Leitungen oder Kopieren von Daten aus Rechnern, ist kaum feststellbar, da sich an den Originaldaten nichts ändert. Ebenso ist, wie oben erwähnt, das Installieren Trojanischer Pferde kaum festzustellen und erst recht nicht die unerlaubte Weiterverarbeitung von Daten, die man legal (oder auch illegal) erhalten hat. Die Wiederherstellung des ursprünglichen Zustands müßte bei „Datendiebstahl“ vor allem darin bestehen, alle entstandenen Daten zu löschen. Man ist aber nie sicher, ob nicht noch weitere Kopien existieren. Außerdem können sich Daten im Gedächtnis von Menschen festsetzen, wo das Löschen besser nicht angestrebt werden sollte. Es sei erwähnt, daß zur Überprüfung der Einhaltung von Datenschutzbestimmungen man zumindest bzgl. des Vertraulichkeitsaspektes gegenüber der prüfenden Instanz (etwa einem Datenschutzbeauftragten bzw. seinen Mitarbeitern) Ausnahmen zulassen muß. Dual zum Problem des „Datendiebstahls“ gibt es das Problem des Datenverlustes: Verlorene Daten sind evtl. nicht wiederzubeschaffen, so daß auch hier der ursprüngliche Zustand nicht wiederhergestellt werden kann. Es sind also zusätzliche wirkungsvollere Maßnahmen nötig. Anmerkung: Für ein nationale Grenzen überschreitendes IT-System ist ein internationaler Konsens (etwa ausgedrückt durch Recht) und seine internationale Durchsetzung (etwa durch internationale Gerichtsbarkeit und Exekutivgewalt) nötig. Während es nationale Grenzen überschreitende IT-Systeme in Fülle gibt, liegen internationaler Konsens und internationale Durchsetzung im argen. ... new developments, e.g. the rising need and demand for multilateral security, which cover the requirements of users and usees as well as those of IT system owners and operators. ... The TCSEC had a strong bias on the protection of system owners and operators only. This bias is slowly losing strength, but can still be seen in all criteria published afterwards. Security of users and usees, especially of users of telecommunication systems is not considered. Therefore techniques, providing bi- or multilateral security, e.g. those protecting users in a way privacy regulations demand it, cannot be described properly using the current criteria. [Rann_94] Mehrseitige Sicherheit in der Kommunikationstechnik betont den gleichwertigen Schutz aller an einer Kommunikation beteiligten Partner. Die Schutzziele der Privatheit und der Verbindlichkeit werden als wichtige Größen im Hinblick auf persönliche Entfaltung des Menschen und auf verbindliches soziales Handeln betrachtet. [PoSc_97] 1-9 Alternative Definitionen/Charakterisierungen mehrseitiger Sicherheit The large-scale automated transaction systems of the near future can be designed to protect the privacy and maintain the security of both individuals and organizations. ... Individuals stand to gain in increased convenience and reliability; improved protection against abuses by other individuals and by organizations, a kind of equal parity with organizations, and, of course, monitorability and control over how information about themselves is used. ... the advantages to individuals considered above apply in part to organizations as well. ... Since mutually trusted and tamper-resistant equipment is not required with the systems described here, any entry point to a system can be freely used; users can even supply their own terminal equipment and take advantage of the latest technology. [Cha8_85] Während in den klassischen Sicherheitsmodellen die Sicht des Netzbetreibers im Vordergrund steht, berücksichtigt die mehrseitige Sicht auch und gerade die Sicht der Benutzer. Neben dem Schutz, den die Netze ihren Benutzern bieten, werden die Benutzer auch Mechanismen zum Selbstschutz benötigen, um die Abhängigkeit von anderen zu reduzieren. Damit schützen sich Telekooperationspartner nicht nur gegen Angriffe aus dem Netz, sondern sie wahren auch ihre Interessen gegeneinander, so wie Käufer und Verkäufer Geld und Quittung austauschen, manchmal sogar unter notariellen Augen. [GGPS_97] Meanwhile, in a system based on representatives and observers, organizations stand to gain competitive and political advantages from increased public confidence (in addition to the lower costs of pseudonymous record-keeping). And individuals, by maintaining their own cryptographically guaranteed records and making only necessary disclosures, will be able to protect their privacy without infringing on the legitimate needs of those with whom they do business. [Chau_92] Ausgehend von der zunehmenden Bedeutung der Abwicklung von Rechtsgeschäften über offene digitale Systeme wird die Forderung abgeleitet, diese Systeme so zu gestalten, daß ihre Benutzung unbeobachtbar durch Unbeteiligte und anonym vor Beteiligten stattfinden, aber dennoch die notwendige Rechtssicherheit garantiert werden kann. [PWP_90] Mehrseitige Sicherheit in der Telekommunikation ist ein anwenderbezogenes Merkmal. Der geforderte Schutz gilt letztlich den einzelnen Menschen und Organisationen, die sich zur Bewältigung ihres beruflichen und privaten Alltags moderner Telekommunikationstechnik bedienen. Sicherheit dient aber nicht nur den Kommunikationspartnern selbst, sondern auch all denjenigen, die mit den Partnern oder mit dem jeweiligen Kommunikationsinhalt in Beziehung stehen oder mit der Bereitstellung der Kommunikationsmittel zu tun haben ... [RoSc_96] Mehrseitige Sicherheit: Wo bisher bei der Einführung neuer Kommunikationsmedien und -dienste die Sicherheit des Betreibers (z.B. gegen unberechtigte Benutzung und Eintreibung der angefalle- The term multilateral security is therefore used here to describe an approach aiming at a balance between the different security requirements of different parties. In particular, respecting the different security requirements of the parties involved implies renouncing the commonly used precondition, that the parties have to trust each other, and, especially, renouncing the precondition, that the subscribers have to place complete trust into the service providers. Consequently, each party must be viewed as a potential attacker on the other and the safeguards have to be designed accordingly. [RDFR_97]
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142: 270 A. Pfitzmann: Datensicherheit u
Seite 191: 370 A. Pfitzmann: Datensicherheit u
Seite 231 und 232: A. Pfitzmann: Datensicherheit und K
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?