Sicherheit in Netzen

Prof. Jürgen Plate
Dipl.-Ing. Jörg Holzmann

1 Einführung

1.1 Sicherheit

Was verbirgt sich eigentlich hinter dem Begriff Sicherheit? Ganz allgemein kann man damit das Recht auf die Vertraulichkeit und Unversehrtheit seiner Daten bezeichnen. Sicherheit in Netzen ist ein Thema das mit der steigenden Benutzerzahl im Internet zunehmend Interesse findet. Bis vor kurzem war man im Internet unter sich und Sicherheit war nur ein Thema weniger Aussenseiter. Da aber seit geraumer Zeit das Internet von Menschenmassen verschiedenster Kulturkreise gestürmt wird, sollte man sich mit diesem Thema auseinander setzen.

Jeder, der seinen Rechner an das Internet anschließt, sich eine Internetadresse sowie die TCP/IP-Software besorgt und installiert, muß sich darüber im Klaren sein, daß er damit seinen Rechner potentiell mit einigen Millionen anderer Rechner in Verbindung bringt. So wie man selbst alle möglichen fremden Rechner erreichen kann, ist man auch für jedermann kontaktierbar. Das Internet ist offen und um den Individualismus im Netz sowenig wie möglich einzuschränken, müssen Sicherheitsvorkehrungen an den Endgeräten getroffen werden.

Als erste Maßnahme zu einem guten Sicherheitskonzept gehört ein vernünftiges und regelmäßiges Backup. Nach der Erstinstallation eines PCs oder einer Workstation fertigt man ein Backup der Stunde Null an. Das ist für Notfälle der letzte Rettungsanker,denn was nützt einem ein zwei Wochen altes Backup, wenn das System bereits vor acht Monaten gecrackt wurde. Danach sollte man regelmäßige Backups durchführen, z.B. ein vollständiges Backup alle zwei Wochen, dazwischen täglich inkrementelle Backups. Für PCs mit Windows 95/98 eignet sich "Drive Image" von Powerquest, bei Workstations mit Linux/UNIX reichen oft tar, dump und restore.

Eine weitere Gefahr liegt im Fehlverhalten des Netzneulings. Dazu ein Beispiel: Vor nicht allzu langer Zeit erschien im Bereich Managementliteratur ein Buch von Marta Siegel und Laurence Canter, das sich mit Profitmöglichkeiten im Internet befaßt. Das Autorengespann ist im Netz nicht unbekannt: Die beiden Anwälte hatten es vor zwei Jahren als erste gewagt, Dutzende von Newsgroups mit kommerziellen Anzeigen-Postings zu fluten, in denen sie ihre rechtsberatenden Dienste anpriesen. Daraufhin waren sie von der Internet-Gemeinde mit massivem Mailbombing gestraft worden - zu Recht, denn die Nettiquette verbietet aus gutem Grund kommerzielle Anzeigen in nicht speziell dafür vorgesehenen Newsgroups. Viele Internet-Teilnehmer müssen nämlich für die empfangenen News - und auch E-Mails - aus eigener Tasche bezahlen. Die Verbreitung einer Anzeige via News ließe sich also mit einer unerwünschten Postwurfsendung vergleichen, für die der Empfänger auch noch das Porto bezahlt. Leider zeigten sie auf die Reaktion des Netzes hin weder Reue noch Einsicht: Ihr Machwerk, nicht nur in bezug auf den technischen Gehalt, verrät offen, wohin es mit dem Internet gehen wird, wenn wir es in seiner Gesamtheit Anwälten und Glücksrittern ausliefern. Die Autoren sprechen davon, daß die Netzgemeinschaft aus selbstsüchtigen Motiven Neues um jeden Preis verhindern will. Dabei geht ihnen jegliches Verständnis für die Internet-Kultur ab; für sie stellt die alte Garde der Netzaktiven nichts weiter dar als einen verwahrlosten, schmutzigen und drogensüchtigen Haufen, der den falschen Idealen der Sechziger nachhängt. Sie fordern alle Geschäftsleute auf, bedenkenlos das Internet zu stürmen.

1.2 Paragraphen

Nur damit keiner sagen kann er hat nichts gewußt, hier einige Paragraphen:

Strafgesetzbuch:

Zweites Gesetz zur Bekämpfung der Computerkriminalität:

Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992 Verordnung zum Bundesgesetz über den Datenschutz (VDSG) vom 14. Juni 1993

Art. 3
Die folgenden Ausdrücke bedeuten:

1.3 Unterschiedliche Präsenz: Online-Dienst oder Internet

Etliche Onlinedienste bieten auch die Möglichkeit, sich mit einem Online-Angebot zu präsentieren. Solange sich Anbieter und Kunden innerhalb der Softwareumgebung des Online-Dienstes bewegen, sind die Sicherheitsrisiken gering. Der Online-Dienst wird auch dafür sorgen, daß eventuell bekannt werdende Sicherheitslücken schnellstens geschlossen werden. Dazu ein Beispiel: Im ehemaligen BTX, das heute 'T-Online' heißt, gibt es Homebanking. Die Verbindung zwischen Nutzer und Bankrechner erfolgt vollständig innerhalb des BTX-Systems. Die Daten könnten höchstens von Telekom-Mitarbeitern eingesehen werden, weshalb die Transaktion recht sicher ist.

Anders würde es aussehen, wenn Daten über das Internet transportiert oder angeboten werden. Hier ist die Möglichkeit von Fremdeingriffen auf den eigenen Server oder auf Daten, die sich durch das Netz bewegen, wesentlich größer. Auf diese Gefahren möchte ich im folgenden näher eingehen. Normalerweise handelt es sich bei einer Internet-Präsenz um ein WWW- oder FTP-Angebot. Zunächst möchte ich die Verantwortlichkeit für die Sicherheit des Rechners abhängig vom Standort des Servers klären.


1.4 (Web-)Serverstandort beim Provider oder in der eigenen Firma

In den meisten Fällen wird man die Dienste eines Providers in Anspruch nehmen und das WWW-Angebot auf einem Server des Providers halten. In diesem Fall ist natürlich auch der Provider verantwortlich für die Abwehr von Angriffen auf seine Rechnersysteme - aber nur soweit diese in seinem Einflußbereich liegen, also beispielsweise das Anzapfen von Leitungen oder Sicherheitslücken im Betriebssystem betreffen. Wenn Sie als Kunde unvorsichtig mit Ihrem Zugangspaßwort umgehen, liegt die Verantwortung bei Ihnen. Ebenso sind die Kunden eines Providers für die eingespielten Angebote juristisch haftbar, z. B. bei Copyrightverletzungen.

Seltener ist wohl der Fall, daß ein eigener Server-Rechner beim Provider aufgestellt wird. So etwas ist auch nur bei spezielleren Nutzungsformen nötig, z. B. bei eigenen Datenbanken oder speziellen Dienstprogrammen. Noch seltener ist es, wenn der Server im eigenen Unternehmen steht und er über eine Standleitung mit einem Provider verbunden ist. In beiden Fällen ist man sein eigener Provider und muß daher auch mit allen Sicherheitsproblemen selbst fertig werden.

Zum Inhaltsverzeichnis        Zum nächsten Abschnitt


Copyright © Prof. Jürgen Plate, Fachhochschule München