[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Computerkriminalität



[Dieser Text unterliegt dem Copyright.  Er darf gegen
Belegexemplar schriftlich wie elektronisch verbreitet werden.]

I.

Man muß zunächst zwischen zwei Aspekten unterscheiden.  Auf der
einen Seite steht die Computerkriminalität, bei der die
(Schwächen der) EDV-Ausrüstung der Opfer ausgenutzt
werden/wird; auf der anderen Seite steht die »normale« Nutzung
von Computern und rechnergestützter Kommunikation durch
Kriminelle.

Letztere ist für sich betrachtet nichts Ungewöhnliches:
Genauso, wie Kriminelle sich die Möglichkeiten von Automobilen
und Telephonen zunutze machen, werden sie auch moderne
rechnergestützte Kommunikationsmittel für ihre Zwecke
einsetzen; dies kann man nicht verhindern.

»Neu« ist nur der erste Aspekt, die Ausnutzung von Schwächen in
Datenverarbeitungsanlagen und rechnergestützten
Kommunikationswegen.  Dabei sind zwei Punkte zu unterscheiden:
Die Sicherheit von Kommunikationswegen und die Sicherheit der
Endpunkte dieser Kommunikation.



II.

Die für moderne Datenkommunikation verwendeten Kanäle sind
prinzipiell unsicher.  Sie sind weder vertraulich, noch
authentisch: Funkverbindungen können mitgehört werden,
Telephonleitungen sind anzapf- und unterbrechbar.  Verbindungen
in Datennetzen laufen über die verschiedensten
Zwischenstationen, deren jede Zugriff auf die übertragenen
Daten hat. Die Unsicherheit dieser Verbindungen wird durch den
Anschlag auf die Kommunikationsinfrastruktur des Frankfurter
Flughafens vom 9. Juni 1996 demonstriert, die durch das
schlichte Kappen von Leitungen komplett von der Außenwelt
abgeschnitten wurde.  [1]


Anstatt die Verbindungen zu kappen, hätten die Angreifer sie
mitlesen können, um an sensitive Informationen
(Kreditkartendaten, Buchungsinformationen und dergleichen) zu
gelangen. Sie hätten die betreffenden Datenverbindungen
abfangen und die übertragenen Daten ändern können - sei es zu
rein destruktiven Zwecken, sei es, um sich selbst einen Vorteil
zu verschaffen.

Ein besonderes Risiko stellen Datenverbindungen dar, die der
Fernsteuerung von fremden Rechnern dienen: Zugriffscodes werden
übertragen, die ein allfälliger Zuhörer später nutzen kann, um
Maschinen zu seinen Zwecken zu steuern; die übertragenen Daten
können manipuliert werden, so daß der ferngesteuerte Rechner
nicht mehr die vom Nutzer intendierten Aktionen ausführt,
sondern (unter Umständen unbemerkt) auch vom Angreifer
vorgegebene.

Man sieht an diesem Beispiel, daß sich zwei verschiedene
Probleme stellen: Dasjenige der Integrität und Authentizität
von Daten und dasjenige der Vertraulichkeit von Daten.  Es ist
ebenfalls klar, daß diese Probleme im Bereich der modernen
Kommunikationstechniken nicht durch die physikalische
Sicherheit der Verbindungen zu lösen sind, sondern nur eine
»informatische« Lösung in Betracht kommen kann.


Beide Probleme werden heute durch kryptographische Verfahren
angegangen.  Die Vertraulichkeit von Daten wird gewahrt, indem
ihre Übertragung verschlüsselt verfolgt; Authentizität und
Integrität werden durch sogenannte elektronische Signaturen
gewährleistet.

Solche Signaturen bauen technisch gesehen zumeist auf zwei
Schritten auf: In einem ersten Schritt wird der zu signierende
Text auf eine kurze Zeichenkette (einen sogenannten Hash-Wert)
abgebildet.  Die dabei verwendete Abbildung ist so konstruiert,
daß das Urbild eines gegebenen Wertes rechnerisch schwer zu
bestimmen ist, und daß es rechnerisch schwer ist, zwei Texte zu
finden, die zum gleichen Hash-Wert führen.  Um die Integrität
einer Datenübertragung zu überprüfen, bildet der Empfänger
eines Dokuments den zugehörigen Hash-Wert und vergleicht ihn
mit demjenigen des Ursprungstextes.  Er kann dann mit einiger
Sicherheit davon ausgehen, daß sein Exemplar des Textes mit
demjenigen übereinstimmt, dessen Hash-Wert ihm gesondert
zugestellt wurde.


Natürlich ist auch dieser Hash-Wert nicht gegen eine
Manipulation während der Übertragung sicher.  Um dies zu
erreichen, wird die »eigentliche« elektronische Signatur
verwendet: Der Empfänger erhält eine Möglichkeit, zu
überprüfen, daß die ihm vorliegenden Daten von einer Stelle
kommen, die im Besitz eines bestimmten Geheimnisses ist;
zugleich wird dieses Geheimnis _nicht_ preisgegeben.

Hierzu wird der oben beschriebene Hash-Wert mit einem
asymmetrischen Verschlüsselungsverfahren verschlüsselt. Im
Unterschied zu der Nutzung solcher Verfahren zur
Vertraulichkeitssicherung ist nun allerdings der
Verschlüsselungsschlüssel geheim, während der
Entschlüsselungsschlüssel veröffentlicht wird.  Der Empfänger
der zu sichernden Daten kann nun den Hash-Wert mit diesem
öffentlich bekannten Schlüssel entschlüsseln.  Wurde er mit dem
zugehörigen (geheimen) Verschlüsselungsschlüssel kryptiert (und
der Text korrekt übertragen), erhält er den zum Text passenden
Wert. War dies nicht der Fall, erhält der Empfänger Datenmüll,
der jedenfalls nicht mit dem Hash-Wert des übertragenen Textes
übereinstimmt.  (Diese Verfahrensweise setzt voraus, daß es
nicht möglich ist, aus dem Entschlüsselungsschlüssel auf
einfache Art und Weise den Verschlüsselungsschlüssel zu
gewinnen; dies ist zum Beispiel bei dem weitverbreiteten
RSA-Algorithmus der Fall.)

Die Zuordnung zum Absender erfolgt über den öffentlich
bekannten Entschlüsselungsschlüssel, der dem Empfänger zuvor
auf einem authentischen Kanal zugegangen sein muß.  Als
authentischer Kanal käme zum Beispiel ein Abdruck dieses
öffentlichen Schlüssels in der Tagespresse in Frage; es kann
sich aber auch um die Übergabe einer Diskette bei einem realen
Treffen handeln.



III.

Wurden die Daten »sicher« an ihr Ziel befördert, liegen sie
dort zumindest zeitweise unverschlüsselt in elektronischer Form
vor. Wer Zugriff auf die Rechner einer Organisation hat, hat
auch Zugriff auf die dort gespeicherten und dorthin
übertragenen Daten oder auf unter Umständen durch diese Rechner
gesteuerte Anlagen.  (Wie vor einiger Zeit in der Frankfurter
Allgemeinen Zeitung berichtet wurde, gibt es bereits
Experimente zur Verbindung der Kraftfahrzeugelektronik von PKWs
mit dem Internet - die Risiken durch eine unzureichende
Absicherung gegen Eingriffe von außen dürften auf der Hand
liegen.)

Risiken ergeben sich durch Fehler in Computerprogrammen oder
Installationen, die nicht rechtzeitig behoben werden und es
»Nutzern« ermöglichen, DV-Anlagen (sofern vernetzt) von außen
zu steuern oder sich Zugriffsrechte anzueignen, die über die
ihnen zugestandenen hinausgehen. Das immer noch spektakulärste
Beispiel hierzu ist der Internet-Wurm von 1988: Innerhalb
weniger Tage hatte dieses Wurmprogramm einen großen Teil der
damals per Internet erreichbaren Rechner unter seiner
Kontrolle.  Dies wurde durch die Ausnutzung eines Fehlers in
einem verbreiteten Netzwerkdienstprogramm erreicht. Dieses
wurde dazu »überredet«, auf den angegriffenen Rechnern
bestimmte von außen vorgegebene Abläufe in Gang zu setzen. [2]

Derartige Fehler tauchen immer wieder auf; gelegentlich werden
an einem Tag mehrere solche Probleme bekannt, die dann so
schnell als möglich zu beheben sind.  Häufig geschieht dies
aber aus Faulheit, Motivationslosigkeit oder Unkenntnis der
zuständigen Administratoren nicht, so daß auch altbekannte
Probleme den Zugang zu einem fremden Rechner ermöglichen
können.


Durch die neuen »Multimedia«-Dienste wie das WWW gewinnen
trojanische Pferde an Wert: Dies sind Programme, die der
legitime Nutzer von außen auf sein System holt und ausführt,
die aber nicht nur die von ihm gewünschten Abläufe auslösen,
sondern zusätzliche, unerwünschte Manipulationen an seinem
Computer vornehmen. Das kann vom Löschen von Systemdateien über
das Einrichten eines Zugriffs für Dritte bis hin zu
Überweisungen auf fremde Konten gehen. Letzteres wurde beim
»Active-X-Hack des CCC« Anfang dieses Jahres medienwirksam
demonstriert. [3]


Ihnen diente dabei die sogenannte Active-X-Technologie der
Firma Microsoft als Einfallstor.  Active X ist die Einbindung
von ausführbaren Programmen in WWW-Seiten, um über die
Möglichkeiten des Browsers hinausgehende Gestaltungselemente
oder interaktive Abläufe einzubeziehen.  Je nach Einstellung
des Web-Browsers (hier: Internet Explorer) werden derartige
Programme ohne Vorwarnung ausgeführt; sie haben dabei die
_volle_ Kontrolle über den ausführenden Rechner, der dann z.B.
als Einfallstor in das interne Rechnernetz einer Organisation
dienen kann. Von Microsoft werden diese Risiken
heruntergespielt oder abgetan, die Verschmelzung von lokalen
und Internet-Ressourcen wird allen Sicherheitsrisiken zum Trotz
weiter vorangetrieben.



IV.

Es gibt eine dritte, die »menschliche« Seite der
Computerkriminalität: Da ist der enttäuschte Mitarbeiter, der
sich vor seinem Weggang eine Hintertür in die DV-Anlagen des
Unternehmens verschafft hat, da ist der Manager, der sensitive
Informationen zu seinem neuen Arbeitgeber mitnimmt
(Lopez-Syndrom), da ist der Angestellte, der die Rechner der
Firma so manipuliert, daß sie zusätzliche Transaktionen zu
seinem Vorteil vornehmen.  Da ist die Sekretärin, die ihrem
Liebhaber die Zugriffscodes im Bett verrät - oder einen Anruf
vom »neuen« Vorgesetzten oder dem angeblichen Wartungstechniker
bekommt, wie denn bitte das Supervisor-Paßwort für die Rechner
laute, und dieses prompt herausrückt.

Diesen Aspekt von Computerkriminalität sollte man nie aus den
Augen verlieren - häufig ist das sogenannte social hacking der
kürzeste Weg zur Kontrolle einer fremden Maschine.  [4]


V.

Maßnahmen zur Absicherung gegen jedwede Angriffe setzen
demzufolge bei der Schulung und Auswahl von Mitarbeitern an:
Jeder Nutzer von DV-Anlagen muß sich über die damit verbundenen
Risiken bewußt sein und entsprechend handeln.  Die Sekretärin
darf das Wartungs-Paßwort eben nicht am Telephon herausgeben
(am besten kennt sie es gar nicht), der Mitarbeiter darf nicht
in der Mittagspause beim WWW-Browsen beliebige Programme aus
unbekannter Quelle unter dem Mäntelchen des Multimedia-Applets
ausführen.  Der Systemadministrator darf sich nicht auf »Dienst
nach Vorschrift« berufen und ein Sicherheitsproblem, das er am
Freitagabend findet, erst am Montagmorgen (oder an St.
Nimmerlein) beheben.

Hinzu kommt die kritische Auswahl und dauernde Beobachtung der
verwendeten Technik: Wo können sich Probleme ergeben, wie sind
diese zu umgehen? Wo gibt es Fehler in der eingesetzten
Software, wie kann man diese beheben oder neutralisieren?
Welche Garantien übernimmt der Hersteller der eingesetzten
Software?  Wie reagiert dieser Hersteller auf ihm mitgeteilte
Sicherheitsprobleme - werden diese behoben und veröffentlicht
oder schamhaft verschwiegen? Wie sehen die Rechner einer
Organisation durch die Brille eines etwaigen Angreifers
betrachtet aus?

Diese Überprüfung kann so weit gehen, daß externe Experten
damit beauftragt werden, in die Rechnernetze einer Organisation
einzudringen, um auf diesem Wege Sicherheitsprobleme zu finden
und sie später beheben zu können.




[1] Vgl. Verfassungsschutzbericht des Bundes von 1996, Seite 43.

[2] Eugene H. Spafford: The Internet Worm Incident. Technical
    Report CSD-TR933, Purdue University 1991.

[3] http://www.iks-jena.de/mitarb/lutz/security/activex.html

[4] Katie Hafner, John Markoff: Kevin Mitnick - der Hacker.
    Econ 1995. 

-- 
Thomas Roessler · Nordstraße 99 · 53111 Bonn · 0228-638007