[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Computerkriminalität
- To: Thomas Roessler <roessler@guug.de>
- Subject: Re: Computerkriminalität
- From: Rudolf Schreiner <ras@muc.de>
- Date: Fri, 23 May 1997 15:14:40 +0200 (MET DST)
- cc: Fitug-Debatten <debate@fitug.de>
- Comment: This message comes from the debate mailing list.
- In-Reply-To: <19970523022737.56051@sobolev.iam.uni-bonn.de>
- Sender: owner-debate@fitug.de
On Fri, 23 May 1997, Thomas Roessler wrote:
[...]
> Die Unsicherheit dieser Verbindungen wird durch den
> Anschlag auf die Kommunikationsinfrastruktur des Frankfurter
> Flughafens vom 9. Juni 1996 demonstriert, die durch das
> schlichte Kappen von Leitungen komplett von der Außenwelt
> abgeschnitten wurde. [1]
>
> Anstatt die Verbindungen zu kappen, hätten die Angreifer sie
> mitlesen können, um an sensitive Informationen
> (Kreditkartendaten, Buchungsinformationen und dergleichen) zu
> gelangen. Sie hätten die betreffenden Datenverbindungen
> abfangen und die übertragenen Daten ändern können - sei es zu
> rein destruktiven Zwecken, sei es, um sich selbst einen Vorteil
> zu verschaffen.
Ich habe Dir schon in einer Mail geschrieben, dass dies schlicht falsch
ist. Man kann Glasfasern nicht so einfach unbemerkt abhoeren, geschweige
denn die uebertragenen Daten veraendern.
> Wurden die Daten »sicher« an ihr Ziel befördert, liegen sie
> dort zumindest zeitweise unverschlüsselt in elektronischer Form
> vor. Wer Zugriff auf die Rechner einer Organisation hat, hat
> auch Zugriff auf die dort gespeicherten und dorthin
> übertragenen Daten oder auf unter Umständen durch diese Rechner
> gesteuerte Anlagen.
Auch dies ist falsch: "System Access" und "Data Access" sind
unterschiedliche Dinge. Sollten es zumindest sein...
> Maßnahmen zur Absicherung gegen jedwede Angriffe setzen
> demzufolge bei der Schulung und Auswahl von Mitarbeitern an:
Unsinn. Bevor man den Mitarbeitern irgendwas beibringen kann, muss die
Geschaftsleitung erst einmal verbindliche Richtlinien ueber die Benutzung
der Computersysteme erlassen.
Besorg' Dir mal solche Richtlinien von Grossunternehmen oder staatlichen
Organisationen...
Die Praxis lehrt auch, dass Schulungen oft nur eine SEHR begrenzte Wirkung
auf viele Mitarbeiter haben. Schau' Dir bitte mal an, wie es im richtigen
Leben, ausserhalb der akademischen Welt zugeht. Du kannst den Leuten
zigmal sagen, dass sie auf den Firmen-PCs keine vom Sohn auf dem
Schulhof eingetauschten Spielprogramme installieren sollen, weil damit
Viren eingeschleppt werden koennen. Sie tun es trotzdem!!
Deshalb muss man dafuer sorgen, dass die Mitarbeiter keinen Unfug machen
_koennen_.
> Diese Überprüfung kann so weit gehen, daß externe Experten
> damit beauftragt werden, in die Rechnernetze einer Organisation
> einzudringen, um auf diesem Wege Sicherheitsprobleme zu finden
> und sie später beheben zu können.
Seit Ewigkeiten ist bekannt, dass dies nicht viel hilft:
Dann das Zitat halt nochmal:
"Attempts to correct (patch) identified security vulnerabilities were not
sufficient to prevent subsequent repenetrations. New tiger teams often
found security flaws not found by earlier tiger teams, and one could not
not rely on the failure of a penetration effort to indicate that there
were no exploitable security flaws."
(Lt. Gen. Lincoln D. Faurer, "Computer Security Goals of the DoD",
Computer Security Journal, Summer 84.
noka,
Rudi