Als Anfang Februar 1994 die Meldung "Weltweit größtes Computernetzwerk aufgebrochen – 20 Millionen Benutzer müssen neue Paßworte wählen" in den deutschen Medien auftauchte, konnten nur wenige Netzwerkmanager beruhigt zum Tagesgeschäft übergehen. Was war passiert?

An der Rice-Universität in Houston (Texas) hatten sich Hacker über den mittlerweile berüchtigten sendmail bug wieder einmal privilegierten Zugriff verschafft. Sie installierten einige Hintertüren für erneuten Zugang zu den Systemen und modifizierten diverse Dienstprogramme, um ihre Aktivitäten zu verschleiern. Mit den erlangten Privilegien konnten sie schließlich einen Paket-Schnüffler installieren, der die ersten Tastendrücke aller Verbindungen über ftp, telnet und rlogin registrierte. Auf diese Weise verschafften sie sich Namen und Passwords zahlreicher Benutzer und dadurch Zugang zu all jenen Systemen innerhalb und außerhalb der Universität, zu denen eine Netzwerkverbindung aufgebaut worden war.

Als die Systemverwalter die kriminellen Aktivitäten bemerkten und die zunächst benutzten Sicherheitslöcher stopften, drangen die Angreifer durch die zuvor installierten Hintertüren erneut in die Systeme ein. Die Verantwortlichen entschlossen sich schließlich, die gesamte Universität vom Internet zu trennen und ihr Netzwerk stillzulegen, bis die Systeme wieder in einem ordnungsgemäßen Zustand waren.

In der Zwischenzeit verständigte das CERT die Gesamtheit der Internet-Benutzer. Bis heute steht nicht fest, wie viele andere Systeme dem Angriff zum Opfer fielen. Die in den Medien gemeldete Zahl von 20 Millionen Anwendern dürfte deutlich zu hoch gegriffen sein, wenngleich nur eine verschwindend geringe Minderheit der Netzwerke vor dieser Form von Mißbrauch sicher ist.

Aus europäischen Computernetzen sind Angriffe mit derartiger Tragweite bisher nicht gemeldet worden. Das kann verschiedene Ursachen haben. Möglicherweise sind hierzulande die Hacker weniger aktiv; immerhin gibt es wegen der geringeren Vernetzung auch weniger Ziele, in denen man ernsthaften Schaden anrichten oder sich nennenswerte Vorteile verschaffen könnte. Ebenso ist denkbar, daß Angriffe unentdeckt geblieben oder aus Angst vor einer Blamage verschwiegen worden sind. Es liegt jedenfalls nicht an der verwendeten Hard- und Software, denn die ist beiderseits des Atlantik nahezu identisch.

Zu den wenigen Netzwerken, die einen solchen Angriff unbeschadet überstehen würden, gehört SELANE (secure local area network environment), das der Mathematiker und Informatiker Thomas Beth am Europäischen Institut für Systemsicherheit (EISS) bei der Universität Karlsruhe aufgebaut hat. Das EISS wurde 1988 von der baden-württembergischen Landesregierung als Einrichtung für wissenschaftliche Forschung und Wissenstransfer auf dem Gebiet der Computersicherheit gegründet. Es konzentriert sich vor allem auf die Technik der Datensicherheit für offene Netze, insbesondere kryptographische Verfahren, Schlüsselaustausch- und Authentifikationsprotokolle.

Angesichts der speziellen Situation an deutschen Universitäten und der europäisch geprägten Vielschichtigkeit entschied sich unser Team, auch für den eigenen Bedarf ein sicheres offenes System zu konzipieren. Im Gegensatz zur sonstigen Computertechnologie war auf diesem Feld, von einfacheren Ansätzen anbgesehen, nichts Geeignetes auf dem amerikanischen Markt verfügbar.

Unser Netz wird nach außen von einer Firewall-Installation geschützt. Kein internes Datenpaket, das Passwords oder ähnlich sensitive Teile enthält, verläßt das Institut. Kein Paket von außen, das ein System im Innern verwirren oder bedrohen könnte, wird eingelassen. Der Firewall-Server selbst ist mit den üblichen Maßnahmen geschützt und wird permanent überwacht.

Zu diesem Zweck und für die Gewährleistung von Authentizität und Vertraulichkeit bei interaktiven Netzwerkverbindungen haben wir ein Verfahren namens KATHY entwickelt. (Die Abkürzung ist aus KY für key und ATH für authentication zusammengesetzt; die Reihenfolge der Buchstaben soll andeuten, daß die Authentifizierung in die Erzeugung des Schlüssels eingebettet ist.) Zum Konzept gehört das elektronische Äquivalent eines Personalausweises. Das ist ein Datensatz in den Händen des Benutzers, mit dem er gegenüber einem Überprüfenden seine Identität nachzuweisen vermag, ohne daß dieser sich eine gültige Kopie anfertigen könnte. Elektronische Ausweise werden wie die echten von einer Zentrale vergeben, die nicht Tag und Nacht besetzt ist: Eine Ausweiskontrolle ist auch ohne Rückfrage bei der Zentrale möglich.

Der Ausweis kann entweder als Datei auf einem vertrauenswürdigen Rechner (zum Beispiel dem PC beim Anwender zu Hause) oder auf einer intelligenten Chipkarte gespeichert werden. Einen Teil dieses Datensatzes muß der Ausweisinhaber wie ein Password geheimhalten. Der andere Teil des Ausweises ist eine öffentlich zugängliche, auf den Inhaber bezogene Merkmalsliste aus Name, Anschrift und anderen Kennzeichen wie etwa einer Personalnummer, die von der ausstellenden Behörde elektronisch signiert wurde.

Beim Aufbau einer Verbindung tauschen beide Parteien ihre Merkmalslisten aus und beweisen einander sodann, daß sie im Besitz der gültigen elektronischen Unterschrift der Paßbehörde sind. Dabei erhält weder der Partner noch ein potentieller Angreifer Informationen, die einen Rückschluß auf den geheimen Teil der Datensätze erlauben. Nach Abschluß des Verfahrens verfügen beide Seiten zusätzlich über einen gemeinsamen Schlüssel zur Chiffrierung der nachfolgenden Kommunikation. Die für die Authentifikation erforderlichen Berechnungen können innerhalb des Computers durchgeführt werden, von dem aus auch die Verbindung hergestellt wird. In diesem Falle muß der Benutzer darauf vertrauen, daß dieser Rechner seine geheimen Daten nicht mißbraucht. Das ist bei dem eigenen PC zu Hause nicht problematisch. Für Systeme, über die der Benutzer nicht diese Art der Kontrolle hat, setzen wir intelligente Chipkarten ein. Diese führen die Berechnungen mit den geheimen Daten des Benutzers selbst durch und geben nur die Ergebnisse an den angeschlossenen Computer weiter.

Verbindungen vom Internet in das EISS sind grundsätzlich nur nach gegenseitiger maschineller Authentifikation zwischen dem anrufenden Benutzer und dem Firewall-Server zugelassen. Dazu erhalten sowohl die Benutzer als auch der Server einen elektronischen Ausweis. Da die Kommunikation – insbesondere die Übertragung von Passwords – verschlüsselt erfolgt, erhält ein Abhörer am Internet keinerlei verwendbare Information.

Die hier praktizierte Synthese aus physischer und funktionaler Sicherung bietet den Vorteil, daß Eingriffe und besondere Sicherheitsmaßnahmen im wesentlichen auf den Firewall-Server beschränkt bleiben. Es bedarf keiner tiefergehenden Modifikationen an den Betriebssystemen der Rechner im institutsinternen, heterogenen Netzwerk, die eine Kooperation mit den jeweiligen Herstellern erfordern würden. Trotzdem bietet das System nach außen die Sicherheit, die durch kryptographische Authentifikationsverfahren erreicht werden kann, ohne die Anwender im Innern zu behindern. Es ist auf alle lokalen Netze übertragbar, bei denen nur mit Angriffen von außen zu rechnen ist. Ein Ausbau des Systems zum Schutz auch gegen Angriffe von innen ist jederzeit möglich.


Aus: Spektrum der Wissenschaft 5 / 1994, Seite 70
© Spektrum der Wissenschaft Verlagsgesellschaft mbH