Kapitel VI:
Sicherheitsarchitektur für eine Electronic Mall
Hans H. Meli
Einführung
Offene Kommunikationssysteme, wie sie als Basis bei interaktiven Telematiksystemen angestrebt werden, bieten Angriffspunkte. Es gilt, diese in einer ganzheitlichen Risikoanalyse zu betrachten und nachvollziehbar zu bewerten. Die dazu angewendete Methode muss so gestaltet sein, dass sie kreislaufartig die periodische Überprüfbarkeit der Analyseresultate fordert.
Die formalen Ziele für Informationssicherheit sind die Rechtmässigkeit, die Wirtschaftlichkeit und die soziale Akzeptanz. Diese Formalziele der Informationssicherheit geben die Präferenzstruktur des betrachteten Systems wieder. Damit ergeben sie die Betrachtungswinkel bei der Analyse des Informationssystems.
Die in der Literatur genannten Grundbedrohungen für offene Kommunikationssysteme sind: Verlust von Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Verbindlichkeit [Schaumüller-Bichl 92] [Wildhaber 93]. Positiv formuliert sind dies die Sachziele der Informationssicherheit. Diese Betrachtung legt das Schwergewicht auf die vorgesehene korrekte Benutzung des Systems. Die Frage des Verwendungszwecks nach dem Erhalt der Informationen, auch durch zugelassene Systembenutzer, bleibt offen.
Als Resultat der Risikoanalyse entsteht ein Anforderungsprofil von Sicherheitsbedürfnissen. Diese sind die Grundlage für die Bestimmung der erforderlichen Sicherheitsdienste im Kommunikationssystem.
Sicherheitsdienste sind Gegenstand internationaler Normierungsbestrebungen. Die ISO und die CCITT haben mit den X. Normen (X.435, X.500) grundlegende Arbeit geleistet. Es gilt, die internationalen Normierungen einzubeziehen und für die konkreten Anwendungen soweit als möglich zu nutzen.
Das Sicherheitsmanagement mit seinen organisatorischen Sicherheitsdiensten, unter anderen der Notariatsdienst, verdient besondere Beachtung. Die Normierungen für diese Dienste sind noch nicht verabschiedet, sondern erst in Entwurfsform vorhanden. Wie gezeigt werden soll, hat der Notariatsdienst in einem offenen Kommunikationssystem eine zentrale Bedeutung. Weiter gehören zum Sicherheitsmanagement das Management des Accountings, die Adressvergabe im System, Zutrittsverfahren und Rechteverwaltung.
Die Frage, ob während der Nutzung des Systems Verpflichtungen im Sinne von Rechtsgeschäften eingegangen werden, ist eng mit den angebotenen Sicherheitsdiensten verknüpft. Der Verwendungszweck des Kommunikationssystems selbst ist also der bestimmende Faktor der Risikoanalyse. Bei einem offenen Kommunikationssystem ist aber kein einheitlicher Verwendungszweck als Messgrösse mehr auszumachen. Das System wird zum Medium für verschiedenste Aufgabenbereiche. Die Klassifizierung der im System angebotenen Dienste in Sicherheitsbedürfnisklassen ist ein möglicher Ausweg aus diesem Dilemma.
Die Sicherheitsdienste müssen also aus einem Grundset an Diensten bestehen, die modular aufgebaut sind, um späteren Entwicklungen des Kommunikationsystems die - nach der eingangs geforderten periodischen Wiederholung und Überprüfung der Risikoanalyse - adäquaten Sicherheitsdienste anbieten zu können.
Weiter muss den Realisationsmöglichkeiten der geforderten Sicherheitsdienste Beachtung geschenkt werden. Berücksichtigt werden sollen die vorhandenen internationalen Normen und Standards. Eine bausteinartige Sicherheitsarchitektur hilft bei der Migration von gegebenen informationstechnischen Lösungskonzepten für die Sicherheitsdienste hin zu zukünftigen Verfahren. Die zugrundeliegende Informationstechnologie muss austauschbar sein. Nur eine modulare Architektur auch bei der Sicherheit kann eine verhältnismässig leichte Migration garantieren.
Dieses Kapitel soll zeigen, wie Sicherheit in offenen Kommunikationssystemen, wie sie in der Form von Electronic Malls ihre Ausprägung finden können, heute realisiert werden kann. Dabei wird explizit auf den Einsatz von vorhandenen Standards und Verfahren Wert gelegt. Durch die modulare Architektur ist aber der Austausch der verwendeten grundlegenden Mechanismen oder das Erweiterten der erforderlichen Sicherheitsdienste gut möglich. Sogar mehr: Die Architektur muss in diesem Sinne gestaltet sein.
Dies aus zwei Gründen:
Erstens soll das angestrebte System offen sein. Die Sicherheit bildet eine Art Systemgrenze. Wer die Sicherheitsmechanismen korrekt nutzen kann, hat eine der Voraussetzungen geschaffen, um am System überhaupt teilnehmen zu können. Akzeptierte Standards mindern dieses Problem.
Zweitens sind nur erprobte und bewährte Sicherheitsmechanismen vertrauenswürdig genug, um von vielen Seiten akzeptiert zu werden. Ausserdem haben Sicherheitsmechanismen eine beschränkte Lebenszeit.
Generisches Konzept zur methodischen Entwicklung der Sicherheit
Einerseits soll ein generisches Vorgehensmodell vorgestellt und in einem zweiten Schritt an einem konkreten Beispiel - der in diesem Buch beschriebenen Electronic Mall - umgesetzt werden.
Der Teil des generischen Konzeptes ist Bestandteil der geplanten Dissertation des Autors. Die konkrete Umsetzung ist in diesem Kapitel beschrieben. Im Bild VI - 1 sind die beiden Konzepte gegenübergestellt.
Konkret
Beim generischen Konzept wird ein Systemmodell als Grundlage herangezogen. Ebenso werden allgemeine Bedrohungen betrachtet. Daraus ergeben sich Sicherheitseigenschaften in allgemeiner Form. Die Ableitung erzeugt die geforderten Sicherheitsdienste.
Das konkrete Konzept bezieht sich auf eine bestimmte Anwendung (z.B. eine Electronic Mall), bei welcher konkrete Bedrohungen ausgemacht werden können. Damit sind auch Risiken bestimmbar. Die wird nun wichtig, um das Mass der gewünschten Sicherheit festzulegen. Aus diesem geforderten ergeben sich die zu implementierenden Massnahmen, welche auf Sicherheitsmechanismen aufbauen.
Geforderte Sicherheitsdienste für offene Kommunikationssysteme
In der Literatur sind folgende Grundbedrohungen für Kommunikationssysteme zu finden:
Verlust von:
Vertraulichkeit, Integrität, Verfügbarkeit, Originalität.
[Schaumüller-Bichl 92]
Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Verbindlichkeit [Wildhaber 93]
Vertraulichkeit, Integrität, Verfügbarkeit, Verbindlichkeit.
[Lippold 92]
In diesem Kapitel sollen als für offene Kommunikationssysteme der Verlust von Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Verbindlichkeit als Ausgangspunkte dienen. Die Originalität ist im Begriff Verbindlichkeit enthalten.
Die Verbindlichkeit ist speziell bei Geschäftsbeziehungen eine wichtige Anforderung an das System.
In Tabelle VI - 2 werden
den Grundanforderungen die Bedrohungen zugeordnet, die zum Verlust
der entsprechenden Anforderung führen können.
| Vertraulichkeit: Verkehrsanalyse Beobachtung Abhören | Verfügbarkeit: Verlust von Verfügbarkeit |
| Integrität: Datenmanipulation Datenverlust | Authentizität: Unauthorisiertes Benutzen von Ressourcen |
| Verbindlichkeit: Bestreiten des Sendens Bestreiten des Empfangs |
an ein Kommunikationssystem
Ein Kommunikationsystem muss durch die geeigneten Sicherheits-Dienste diese Anforderungen erfüllen. Für den einzelnen Prozess im System ist jeweils nur eine Auswahl von den zur Verfügung stehenden Diensten notwendig.
Mit Methode zum sicheren, offenen Kommunikationssystem
Im Folgenden wird die Sicherheit methodisch in ein konkretes System adaptiert. Der Abschnitt ist in die folgenden Teile gegliedert:
- Systembeschreibung.
- Risikoerkennung.
- Sicherheitspolitik.
- Implementationsvorschlag.
Das Szenario eines modernen interaktiven Telematik-Systems
Das Szenario eines für den privaten Kunden zu konzipierendes,
telematisches System für den Heimbereich, einer "Electronic
Mall", ist bereits ausführlich im Kapitel II behandelt.
Deshalb wird das Szenario an dieser Stelle nicht mehr detailliert
beschrieben. Einige Eckpunkte sind hier kurz zusammengefasst:
Der Kunde greift über seine Client-Station und mit Hilfe der elektronischen Marktdienste auf eine Auswahl der in der Electronic Mall angebotenen Anwendungen zu. Er holt sich die gewünschten und benötigten Anwendungen zu sich, zu seinem Standort, im Falle des Konsumenten i.d.R. nach Hause. Grundlage der Interaktion des Kunden mit anderen Marktteilnehmern ist die Client-Server-Philosophie.
Der Nachfrager nutzt eine Menge von Basis-Anwendungen, die seine individuellen Bedürfnisse befriedigen. Darüber hinaus kann ein darauf spezialisierter Marktdienst dem Nutzer den Zugriff auf die Basis-Anwendungen über eine Anwendung ermöglichen, die dem Nutzer einen zusätzlichen Mehrwert bietet. Es soll deswegen in diesem Zusammenhang von Mehrwert-Anwendungen gesprochen werden. Eine solche Anwendung kann z.B. die zielgruppenspezifische Bündelung von Basis-Anwendungen sein (vgl. Kapitel II). Die Kommunikation zwischen den Marktpartnern erfolgt über adäquate Trägermedien.
In Bild VI - 4 ist das Grundprinzip der Architektur einer Electronic
Mall dargestellt:
- Automatisierung bis zum Endkunden: Keine Medienbrüche
Es wird eine durchgängige Automatisierung der Prozesse bis hin zum Endkunden angestrebt. Die bisherigen elektronischen Abwicklungssysteme klammern den Endkunden in der Regel aus, so dass als Konsequenz dieser Situation bei Transaktionen zwischen kommerziellen Marktteilnehmern und privaten Endkunden (fast) immer Medienbrüche stattfinden.
Grundlage der Übermittlung einzelner Meldungen (Bestellung,
Rechnung, Zahlungsauftrag, Belastungsanzeige) ist ein elektronisches
Mailsystem nach dem Store-and-Forward Mechanismus, das der Kunde
auch für die Übermittlung "normaler" Post
nutzen kann. Zur Erreichung einer möglichst hohen Kompatibilität
mit den "elektronischen Dokumenten" im kommerziellen
Bereich, sollten entsprechend verbreitete Standards für den
Austausch der Geschäftsdaten (EDI) genutzt werden. 
Definierte
und genutzte Standards z.B. im Bereich der Bestellabwicklung sind
die entsprechenden UN/EDIFACT-Meldungsformate. Für die Zahlungsverkehrsabwicklung
sind ebenfalls UN/EDIFACT -Formate im Einsatz (Kapitel IV, Abs.
3.4).
Angriffe auf ein Kommunikationssystem
Zwei Typen von Angriffsmöglichkeiten sind zu unterscheiden: Passive und aktive; diese sind unterschiedlich zu behandeln. Abhören, ausforschen durch beobachten und aufnehmen von Verkehr über Kommunikationssysteme sind passive Angriffe. Mit dem Entziffern von Mitteilungen erhält der Angreifer Information, die nicht für ihn bestimmt war, mit der Verkehrsanalyse kann er feststellen, wer mit wem Kommunikationsbeziehungen wie oft etc. unterhält. Mit aktiven Attacken werden Daten oder Prozesse etc. geändert bzw. angestossen, zu denen die entsprechenden Berechtigungen fehlen.
Aktive Attacken
Zu den aktiven Angriffen auf ein Datennetz zählen sämtliche Aktionen, welche Daten durch unberechtigtes Nutzen von Ressourcen und Prozessen verändern, löschen oder einfügen.
- Unerlaubte Nutzung von Systemen.
- Wiederholung oder Verzögerung einer Nachricht.
- Einfügen oder Löschen bestimmter Daten.
- Störungen der Systemverfügbarkeit.
- Modifikation von Daten.
- Vortäuschung einer falschen Identität.
- System-Anomalien.
- Leugnen einer Kommunikationsbeziehung.
Passive Attacken
Bei passiven Attacken ist vor allem die Vertraulichkeit der Daten bedroht. Gerade diesem Angriff wird meist die höchste Aufmerksamkeit geschenkt, was sich im Ausmass der dagegen ergriffenen Massnahmen zeigt. Vertraulichkeit ist jedoch eine Sicherheitsanforderung, die schwergewichtig in den militärischen Bereich gehört. Für Geschäftsbeziehungen sind Anforderungen wie Integrität und Verbindlichkeit wesentlich wichtiger.
- Abhören von Nachrichten.
- Verkehrsflussanalyse
Zufällige Gefahren
Dies sind allgemeine Bedrohungen von IT-Systemen. Da diese aber die Voraussetzung für die Kommunikationssysteme bilden, müssen sie ebenso abgedeckt sein.
- Technisches Versagen.
- Höhere Gewalt.
- Fehlbedienung
