Sicherheit in Netzen

Prof. Jürgen Plate
Dipl.-Ing. Jörg Holzmann

Was verbirgt sich eigentlich hinter dem Begriff Sicherheit? Ganz allgemein kann man damit das Recht auf die Vertraulichkeit und Unversehrtheit seiner Daten bezeichnen. Sicherheit in Netzen ist ein Thema das mit der steigenden Benutzerzahl im Internet zunehmend Interesse findet. Bis vor kurzem war man im Internet unter sich und Sicherheit war nur ein Thema weniger Aussenseiter. Da aber seit geraumer Zeit das Internet von Menschenmassen verschiedenster Kulturkreise gestürmt wird, sollte man sich mit diesem Thema auseinander setzen.

Jeder, der seinen Rechner an das Internet anschließt, sich eine Internetadresse sowie die TCP/IP-Software besorgt und installiert, muß sich darüber im Klaren sein, daß er damit seinen Rechner potentiell mit einigen Millionen anderer Rechner in Verbindung bringt. So wie man selbst alle möglichen fremden Rechner erreichen kann, ist man auch für jedermann kontaktierbar. Das Internet ist offen und um den Individualismus im Netz sowenig wie möglich einzuschränken, müssen Sicherheitsvorkehrungen an den Endgeräten getroffen werden.

Als erste Maßnahme zu einem guten Sicherheitskonzept gehört ein vernünftiges und regelmäßiges Backup. Nach der Erstinstallation eines PCs oder einer Workstation fertigt man ein Backup der Stunde Null an. Das ist für Notfälle der letzte Rettungsanker,denn was nützt einem ein zwei Wochen altes Backup, wenn das System bereits vor acht Monaten gecrackt wurde. Danach sollte man regelmäßige Backups durchführen, z.B. ein vollständiges Backup alle zwei Wochen, dazwischen täglich inkrementelle Backups. Für PCs mit Windows 95/98 eignet sich "Drive Image" von Powerquest, bei Workstations mit Linux/UNIX reichen oft tar, dump und restore.

Eine weitere Gefahr liegt im Fehlverhalten des Netzneulings. Dazu ein Beispiel: Vor nicht allzu langer Zeit erschien im Bereich Managementliteratur ein Buch von Marta Siegel und Laurence Canter, das sich mit Profitmöglichkeiten im Internet befaßt. Das Autorengespann ist im Netz nicht unbekannt: Die beiden Anwälte hatten es vor zwei Jahren als erste gewagt, Dutzende von Newsgroups mit kommerziellen Anzeigen-Postings zu fluten, in denen sie ihre rechtsberatenden Dienste anpriesen. Daraufhin waren sie von der Internet-Gemeinde mit massivem Mailbombing gestraft worden - zu Recht, denn die Nettiquette verbietet aus gutem Grund kommerzielle Anzeigen in nicht speziell dafür vorgesehenen Newsgroups. Viele Internet-Teilnehmer müssen nämlich für die empfangenen News - und auch E-Mails - aus eigener Tasche bezahlen. Die Verbreitung einer Anzeige via News ließe sich also mit einer unerwünschten Postwurfsendung vergleichen, für die der Empfänger auch noch das Porto bezahlt. Leider zeigten sie auf die Reaktion des Netzes hin weder Reue noch Einsicht: Ihr Machwerk, nicht nur in bezug auf den technischen Gehalt, verrät offen, wohin es mit dem Internet gehen wird, wenn wir es in seiner Gesamtheit Anwälten und Glücksrittern ausliefern. Die Autoren sprechen davon, daß die Netzgemeinschaft aus selbstsüchtigen Motiven Neues um jeden Preis verhindern will. Dabei geht ihnen jegliches Verständnis für die Internet-Kultur ab; für sie stellt die alte Garde der Netzaktiven nichts weiter dar als einen verwahrlosten, schmutzigen und drogensüchtigen Haufen, der den falschen Idealen der Sechziger nachhängt. Sie fordern alle Geschäftsleute auf, bedenkenlos das Internet zu stürmen.

1.2 Paragraphen

Nur damit keiner sagen kann er hat nichts gewußt, hier einige Paragraphen:

Strafgesetzbuch:

Unbefugte Datenbeschaffung(Art. 143)
Unbefugtes Eindringen in ein Datenverarbeitungssystem (Art. 143bis)
Datenbeschädigung (Art. 144bis)

Zweites Gesetz zur Bekämpfung der Computerkriminalität:

Paragraph 202a: Ausspähen von Daten
(1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen beschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Paragraph 263a: Computerbetrug
(1)Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
Paragraph 303a: Datenveränderung
(1)Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft,
Paragraph 303b: Computersabotage
(1)Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, daß er
1. eine Tat nach Paragraph 303a Abs. 1 begeht oder
2. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt oder unbrauchbar macht, beseitigt oder verändert,
wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992 Verordnung zum Bundesgesetz über den Datenschutz (VDSG) vom 14. Juni 1993

Art. 3
Die folgenden Ausdrücke bedeuten:

Personendaten (Daten): alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen.
Betroffene Personen: natürlich oder juristische Personen, über die Daten bearbeitet werden.
Besonders schützenswerte Personendaten: Daten über
1. Die religieusen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten.
2. Die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit.
3. Massnahmen der sozialen Hilfe.
4. Administrative oder strafrechtliche Verfolgungen und Sanktionen
Persönlichkeitsprofil: eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt
Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten
Bekanntgeben: das Zugänglichmachen von Personendaten wie das Einsichtgewähren, Weitergeben oder Veröffentlichen
Datensammlung: jeder Bestand von Personendaten, der so aufgebaut ist, das die Daten nach betroffenen Personen erschließbar sind
Bundesorgane: Behörden und Dienststellen des Bundes sowie Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind
Inhaber der Datensammlung: private Personen oder Bundesorgane, die über den Zweck und Inhalt einer Datensammlung entscheiden
Formelles Gesetz:
1. Bundesgesetze und referendumsplichtige allgemeinverbindliche Bundesbeschlüsse
2. Für die Schweiz verbindliche Beschlüsse internationaler Organisationen und von der Bundesversammlung genehmigte völkerrechtliche Verträge mit rechtsetzendem Inhalt.
Grundsätze
1. Personendaten dürfen nur rechtmäßig beschafft werden.
2. Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muß verhältnismäßig sein.
3. Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.

1.3 Unterschiedliche Präsenz: Online-Dienst oder Internet

Etliche Onlinedienste bieten auch die Möglichkeit, sich mit einem Online-Angebot zu präsentieren. Solange sich Anbieter und Kunden innerhalb der Softwareumgebung des Online-Dienstes bewegen, sind die Sicherheitsrisiken gering. Der Online-Dienst wird auch dafür sorgen, daß eventuell bekannt werdende Sicherheitslücken schnellstens geschlossen werden. Dazu ein Beispiel: Im ehemaligen BTX, das heute 'T-Online' heißt, gibt es Homebanking. Die Verbindung zwischen Nutzer und Bankrechner erfolgt vollständig innerhalb des BTX-Systems. Die Daten könnten höchstens von Telekom-Mitarbeitern eingesehen werden, weshalb die Transaktion recht sicher ist.

Anders würde es aussehen, wenn Daten über das Internet transportiert oder angeboten werden. Hier ist die Möglichkeit von Fremdeingriffen auf den eigenen Server oder auf Daten, die sich durch das Netz bewegen, wesentlich größer. Auf diese Gefahren möchte ich im folgenden näher eingehen. Normalerweise handelt es sich bei einer Internet-Präsenz um ein WWW- oder FTP-Angebot. Zunächst möchte ich die Verantwortlichkeit für die Sicherheit des Rechners abhängig vom Standort des Servers klären.

1.4 (Web-)Serverstandort beim Provider oder in der eigenen Firma

In den meisten Fällen wird man die Dienste eines Providers in Anspruch nehmen und das WWW-Angebot auf einem Server des Providers halten. In diesem Fall ist natürlich auch der Provider verantwortlich für die Abwehr von Angriffen auf seine Rechnersysteme - aber nur soweit diese in seinem Einflußbereich liegen, also beispielsweise das Anzapfen von Leitungen oder Sicherheitslücken im Betriebssystem betreffen. Wenn Sie als Kunde unvorsichtig mit Ihrem Zugangspaßwort umgehen, liegt die Verantwortung bei Ihnen. Ebenso sind die Kunden eines Providers für die eingespielten Angebote juristisch haftbar, z. B. bei Copyrightverletzungen.

Seltener ist wohl der Fall, daß ein eigener Server-Rechner beim Provider aufgestellt wird. So etwas ist auch nur bei spezielleren Nutzungsformen nötig, z. B. bei eigenen Datenbanken oder speziellen Dienstprogrammen. Noch seltener ist es, wenn der Server im eigenen Unternehmen steht und er über eine Standleitung mit einem Provider verbunden ist. In beiden Fällen ist man sein eigener Provider und muß daher auch mit allen Sicherheitsproblemen selbst fertig werden.

Zum Inhaltsverzeichnis Zum nächsten Abschnitt