FITUG e.V.

Förderverein Informationstechnik und Gesellschaft

Computerkriminalität

[Dieser Text unterliegt dem Copyright. Er darf gegen Belegexemplar schriftlich wie elektronisch verbreitet werden.]

I.

Man muß zunächst zwischen zwei Aspekten unterscheiden. Auf der einen Seite steht die Computerkriminalität, bei der die (Schwächen der) EDV-Ausrüstung der Opfer ausgenutzt werden/wird; auf der anderen Seite steht die "normale" Nutzung von Computern und rechnergestützter Kommunikation durch Kriminelle.

Letztere ist für sich betrachtet nichts Ungewöhnliches: Genauso, wie Kriminelle sich die Möglichkeiten von Automobilen und Telephonen zunutze machen, werden sie auch moderne rechnergestützte Kommunikationsmittel für ihre Zwecke einsetzen; dies kann man nicht verhindern.

"Neu" ist nur der erste Aspekt, die Ausnutzung von Schwächen in Datenverarbeitungsanlagen und rechnergestützten Kommunikationswegen. Dabei sind zwei Punkte zu unterscheiden: Die Sicherheit von Kommunikationswegen und die Sicherheit der Endpunkte dieser Kommunikation.

II.

Die für moderne Datenkommunikation verwendeten Kanäle sind prinzipiell unsicher. Sie sind weder vertraulich, noch authentisch: Funkverbindungen können mitgehört werden, Telephonleitungen sind anzapf- und unterbrechbar. Verbindungen in Datennetzen laufen über die verschiedensten Zwischenstationen, deren jede Zugriff auf die übertragenen Daten hat. Die Unsicherheit dieser Verbindungen wird durch den Anschlag auf die Kommunikationsinfrastruktur des Frankfurter Flughafens vom 9. Juni 1996 demonstriert, die durch das schlichte Kappen von Leitungen komplett von der Außenwelt abgeschnitten wurde. [1]

Anstatt die Verbindungen zu kappen, hätten die Angreifer sie mitlesen können, um an sensitive Informationen (Kreditkartendaten, Buchungsinformationen und dergleichen) zu gelangen. Sie hätten die betreffenden Datenverbindungen abfangen und die übertragenen Daten ändern können - sei es zu rein destruktiven Zwecken, sei es, um sich selbst einen Vorteil zu verschaffen.

Ein besonderes Risiko stellen Datenverbindungen dar, die der Fernsteuerung von fremden Rechnern dienen: Zugriffscodes werden übertragen, die ein allfälliger Zuhörer später nutzen kann, um Maschinen zu seinen Zwecken zu steuern; die übertragenen Daten können manipuliert werden, so daß der ferngesteuerte Rechner nicht mehr die vom Nutzer intendierten Aktionen ausführt, sondern (unter Umständen unbemerkt) auch vom Angreifer vorgegebene.

Man sieht an diesem Beispiel, daß sich zwei verschiedene Probleme stellen: Dasjenige der Integrität und Authentizität von Daten und dasjenige der Vertraulichkeit von Daten. Es ist ebenfalls klar, daß diese Probleme im Bereich der modernen Kommunikationstechniken nicht durch die physikalische Sicherheit der Verbindungen zu lösen sind, sondern nur eine "informatische" Lösung in Betracht kommen kann.

Beide Probleme werden heute durch kryptographische Verfahren angegangen. Die Vertraulichkeit von Daten wird gewahrt, indem ihre Übertragung verschlüsselt verfolgt; Authentizität und Integrität werden durch sogenannte elektronische Signaturen gewährleistet.

Solche Signaturen bauen technisch gesehen zumeist auf zwei Schritten auf: In einem ersten Schritt wird der zu signierende Text auf eine kurze Zeichenkette (einen sogenannten Hash-Wert) abgebildet. Die dabei verwendete Abbildung ist so konstruiert, daß das Urbild eines gegebenen Wertes rechnerisch schwer zu bestimmen ist, und daß es rechnerisch schwer ist, zwei Texte zu finden, die zum gleichen Hash-Wert führen. Um die Integrität einer Datenübertragung zu überprüfen, bildet der Empfänger eines Dokuments den zugehörigen Hash-Wert und vergleicht ihn mit demjenigen des Ursprungstextes. Er kann dann mit einiger Sicherheit davon ausgehen, daß sein Exemplar des Textes mit demjenigen übereinstimmt, dessen Hash-Wert ihm gesondert zugestellt wurde.

Natürlich ist auch dieser Hash-Wert nicht gegen eine Manipulation während der Übertragung sicher. Um dies zu erreichen, wird die "eigentliche" elektronische Signatur verwendet: Der Empfänger erhält eine Möglichkeit, zu überprüfen, daß die ihm vorliegenden Daten von einer Stelle kommen, die im Besitz eines bestimmten Geheimnisses ist; zugleich wird dieses Geheimnis nicht preisgegeben.

Hierzu wird der oben beschriebene Hash-Wert mit einem asymmetrischen Verschlüsselungsverfahren verschlüsselt. Im Unterschied zu der Nutzung solcher Verfahren zur Vertraulichkeitssicherung ist nun allerdings der Verschlüsselungsschlüssel geheim, während der Entschlüsselungsschlüssel veröffentlicht wird. Der Empfänger der zu sichernden Daten kann nun den Hash-Wert mit diesem öffentlich bekannten Schlüssel entschlüsseln. Wurde er mit dem zugehörigen (geheimen) Verschlüsselungsschlüssel kryptiert (und der Text korrekt übertragen), erhält er den zum Text passenden Wert. War dies nicht der Fall, erhält der Empfänger Datenmüll, der jedenfalls nicht mit dem Hash-Wert des übertragenen Textes übereinstimmt. (Diese Verfahrensweise setzt voraus, daß es nicht möglich ist, aus dem Entschlüsselungsschlüssel auf einfache Art und Weise den Verschlüsselungsschlüssel zu gewinnen; dies ist zum Beispiel bei dem weitverbreiteten RSA-Algorithmus der Fall.)

Die Zuordnung zum Absender erfolgt über den öffentlich bekannten Entschlüsselungsschlüssel, der dem Empfänger zuvor auf einem authentischen Kanal zugegangen sein muß. Als authentischer Kanal käme zum Beispiel ein Abdruck dieses öffentlichen Schlüssels in der Tagespresse in Frage; es kann sich aber auch um die Übergabe einer Diskette bei einem realen Treffen handeln.

III.

Wurden die Daten "sicher" an ihr Ziel befördert, liegen sie dort zumindest zeitweise unverschlüsselt in elektronischer Form vor. Wer Zugriff auf die Rechner einer Organisation hat, hat auch Zugriff auf die dort gespeicherten und dorthin übertragenen Daten oder auf unter Umständen durch diese Rechner gesteuerte Anlagen. (Wie vor einiger Zeit in der Frankfurter Allgemeinen Zeitung berichtet wurde, gibt es bereits Experimente zur Verbindung der Kraftfahrzeugelektronik von PKWs mit dem Internet - die Risiken durch eine unzureichende Absicherung gegen Eingriffe von außen dürften auf der Hand liegen.)

Risiken ergeben sich durch Fehler in Computerprogrammen oder Installationen, die nicht rechtzeitig behoben werden und es "Nutzern" ermöglichen, DV-Anlagen (sofern vernetzt) von außen zu steuern oder sich Zugriffsrechte anzueignen, die über die ihnen zugestandenen hinausgehen. Das immer noch spektakulärste Beispiel hierzu ist der Internet-Wurm von 1988: Innerhalb weniger Tage hatte dieses Wurmprogramm einen großen Teil der damals per Internet erreichbaren Rechner unter seiner Kontrolle. Dies wurde durch die Ausnutzung eines Fehlers in einem verbreiteten Netzwerkdienstprogramm erreicht. Dieses wurde dazu "überredet", auf den angegriffenen Rechnern bestimmte von außen vorgegebene Abläufe in Gang zu setzen. [2]

Derartige Fehler tauchen immer wieder auf; gelegentlich werden an einem Tag mehrere solche Probleme bekannt, die dann so schnell als möglich zu beheben sind. Häufig geschieht dies aber aus Faulheit, Motivationslosigkeit oder Unkenntnis der zuständigen Administratoren nicht, so daß auch altbekannte Probleme den Zugang zu einem fremden Rechner ermöglichen können.

Durch die neuen "Multimedia"-Dienste wie das WWW gewinnen trojanische Pferde an Wert: Dies sind Programme, die der legitime Nutzer von außen auf sein System holt und ausführt, die aber nicht nur die von ihm gewünschten Abläufe auslösen, sondern zusätzliche, unerwünschte Manipulationen an seinem Computer vornehmen. Das kann vom Löschen von Systemdateien über das Einrichten eines Zugriffs für Dritte bis hin zu Überweisungen auf fremde Konten gehen. Letzteres wurde beim "Active-X-Hack des CCC" Anfang dieses Jahres medienwirksam demonstriert. [3]

Ihnen diente dabei die sogenannte Active-X-Technologie der Firma Microsoft als Einfallstor. Active X ist die Einbindung von ausführbaren Programmen in WWW-Seiten, um über die Möglichkeiten des Browsers hinausgehende Gestaltungselemente oder interaktive Abläufe einzubeziehen. Je nach Einstellung des Web-Browsers (hier: Internet Explorer) werden derartige Programme ohne Vorwarnung ausgeführt; sie haben dabei die volle Kontrolle über den ausführenden Rechner, der dann z.B. als Einfallstor in das interne Rechnernetz einer Organisation dienen kann. Von Microsoft werden diese Risiken heruntergespielt oder abgetan, die Verschmelzung von lokalen und Internet-Ressourcen wird allen Sicherheitsrisiken zum Trotz weiter vorangetrieben.

IV.

Es gibt eine dritte, die "menschliche" Seite der Computerkriminalität: Da ist der enttäuschte Mitarbeiter, der sich vor seinem Weggang eine Hintertür in die DV-Anlagen des Unternehmens verschafft hat, da ist der Manager, der sensitive Informationen zu seinem neuen Arbeitgeber mitnimmt (Lopez-Syndrom), da ist der Angestellte, der die Rechner der Firma so manipuliert, daß sie zusätzliche Transaktionen zu seinem Vorteil vornehmen. Da ist die Sekretärin, die ihrem Liebhaber die Zugriffscodes im Bett verrät - oder einen Anruf vom "neuen" Vorgesetzten oder dem angeblichen Wartungstechniker bekommt, wie denn bitte das Supervisor-Paßwort für die Rechner laute, und dieses prompt herausrückt.

Diesen Aspekt von Computerkriminalität sollte man nie aus den Augen verlieren - häufig ist das sogenannte social hacking der kürzeste Weg zur Kontrolle einer fremden Maschine. [4]

V.

Maßnahmen zur Absicherung gegen jedwede Angriffe setzen demzufolge bei der Schulung und Auswahl von Mitarbeitern an: Jeder Nutzer von DV-Anlagen muß sich über die damit verbundenen Risiken bewußt sein und entsprechend handeln. Die Sekretärin darf das Wartungs-Paßwort eben nicht am Telephon herausgeben (am besten kennt sie es gar nicht), der Mitarbeiter darf nicht in der Mittagspause beim WWW-Browsen beliebige Programme aus unbekannter Quelle unter dem Mäntelchen des Multimedia-Applets ausführen. Der Systemadministrator darf sich nicht auf "Dienst nach Vorschrift" berufen und ein Sicherheitsproblem, das er am Freitagabend findet, erst am Montagmorgen (oder an St. Nimmerlein) beheben.

Hinzu kommt die kritische Auswahl und dauernde Beobachtung der verwendeten Technik: Wo können sich Probleme ergeben, wie sind diese zu umgehen? Wo gibt es Fehler in der eingesetzten Software, wie kann man diese beheben oder neutralisieren? Welche Garantien übernimmt der Hersteller der eingesetzten Software? Wie reagiert dieser Hersteller auf ihm mitgeteilte Sicherheitsprobleme - werden diese behoben und veröffentlicht oder schamhaft verschwiegen? Wie sehen die Rechner einer Organisation durch die Brille eines etwaigen Angreifers betrachtet aus?

Diese Überprüfung kann so weit gehen, daß externe Experten damit beauftragt werden, in die Rechnernetze einer Organisation einzudringen, um auf diesem Wege Sicherheitsprobleme zu finden und sie später beheben zu können.

Fußnoten

  1. Vgl. Verfassungsschutzbericht des Bundes von 1996, Seite 43.
  2. Eugene H. Spafford: The Internet Worm Incident. Technical Report CSD-TR933, Purdue University 1991.
  3. http://www.iks-jena.de/mitarb/lutz/security/activex.html
  4. Katie Hafner, John Markoff: Kevin Mitnick - der Hacker. Econ 1995.

    Thomas Roessler

    Nordstraße 99 - 53111 Bonn - 0228-638007

    Förderverein Informationstechnik und Gesellschaft, JPL, 4.7.97
    webmaster@www.fitug.de