Gutachten (PDF) - Professur Datenschutz und Datensicherheit ...
Gutachten (PDF) - Professur Datenschutz und Datensicherheit ...
Gutachten (PDF) - Professur Datenschutz und Datensicherheit ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
2.2 Kerntechniken der IT-Sicherheit<br />
Die Ausführung fremder Softwareprogramme ist, sofern sie völlig ohne Einschränkungen ausgeführt<br />
werden, mit Risiken für die Ausführungsumgebung <strong>und</strong> andere in der Ausführungsumgebung<br />
laufende Programme verb<strong>und</strong>en. Beispielsweise könnte fehlerhafter oder absichtlich<br />
bösartiger Programmcode (malicious code), der von einem Web-Browser geladen <strong>und</strong> direkt<br />
auf dem Betriebssystem zur Ausführung gebracht wird (sog. aktiver Inhalt, beispielsweise<br />
ActiveX-Control), mit allen Rechten der Ausführungsumgebung (hier: Web-Browser) arbeiten,<br />
d.h. beliebige Dateien lesen, anlegen, meist auch löschen oder verändern. Weiterhin ist<br />
es nicht ausgeschlossen, dass ungewollte Interaktionen mit anderen momentan laufenden Programmen<br />
stattfinden. So könnte beispielsweise ein legal <strong>und</strong> kostenpflichtig bezogener Medienstrom<br />
unbemerkt vom malicious code ” abgezweigt“ <strong>und</strong> ins Internet eingespeist werden, oder<br />
der malicous code kopiert sich die Zugangsdaten, um den Stream anschließend unberechtigt<br />
anzufordern.<br />
Die Anforderung, dass eine Ausführungsumgebung sich selbst <strong>und</strong> die laufenden Anwendungen<br />
schützen muss, ist nicht neu. Jedes Betriebssystem ist gewissermaßen eine Ausführungsumgebung<br />
<strong>und</strong> muss selbst über Schutzmechanismen verfügen, etwa die Vergabe von Zugriffsrechten<br />
(z.B. Leserecht, Schreibrecht, Ausführungsrecht) <strong>und</strong> den Speicherschutz, d.h. Programme erhalten<br />
vom Betriebssystem zugeteilten Speicher <strong>und</strong> dürfen nur diesen verändern, andernfalls<br />
wird eine Speicherschutzverletzung gemeldet.<br />
Die Schutzmechanismen des Betriebssystems sind jedoch für fremde aktive Inhalte, die möglicherweise<br />
erst zur Laufzeit des Systems geladen werden, viel zu grobkörnig <strong>und</strong> unflexibel.<br />
So mag eine Pay-TV-Anwendung beispielsweise Zugriff auf eine Conditional-Access-Komponente<br />
der Set-Top-Box bekommen, ein über das Internet heruntergeladenes <strong>und</strong> in der Set-Top-<br />
Box als Videospiel ausgeführtes Spieleprogramm, das in Wirklichkeit ein trojanisches Pferd<br />
ist, mit dem die Encryption Keys des Nutzers unbemerkt ausspioniert werden sollen, darf dagegen<br />
keinen Zugriff erlangen. Die Set-Top-Box muss also in Abhängigkeit der Anwendung<br />
größtenteils ohne Zutun des Menschen entscheiden, welche Anwendungen welche Rechte erlagen<br />
dürfen.<br />
Die Schutzmechanismen des Betriebssystems sind zudem vom Betriebssystem abhängig. Dies<br />
widerspricht jedoch dem Trend, aktive Inhalte auf verschiedenen Plattformen betriebssystemunabhängig,<br />
aber trotzdem sicher ausführen zu wollen. Deshalb hat man – je nach aktivem Inhalt –<br />
Auführungsumgebungen geschaffen, die die Schutzanforderungen betriebssystemunabhängig<br />
realisieren.<br />
Sicherheit von Java, Java-Script, ActiveX-Controls <strong>und</strong> Plug-ins<br />
Im Internet findet man aktive Inhalte in Form von ActiveX-Controls, Java-Applets <strong>und</strong> Java-<br />
Scripts.<br />
Java-Applets werden durch die Ausführungsumgebung – meist als Java Virtual Machine (JVM)<br />
bezeichnet – vollständig abgeschottet. Die JVM verfügt über eine ausgefeilte Zugriffskontrolle.<br />
So besitzen Java-Applets standardmäßig keinerlei Lese- <strong>und</strong> Schreibrechte auf dem Rechner,<br />
auf dem sie ausgeführt werden. In diesem Sinn wird auch der Begriff Sandbox verwendet,<br />
da ein Java-Applet innerhalb des Sandkastens – jedes Applet hat seinen eigenen Sandkasten<br />
– beliebige Operationen ausführen darf, aber ihn nicht verlassen kann. Da dies jedoch<br />
Einschränkungen bzgl. der realisierbaren Anwendungen mit sich bringen würde (z.B. könnte<br />
ein Home-Banking-Applet dann nicht mit der HBCI-Chipkarte kommunizieren), dürfen<br />
29