Eine gigantische Datenautobahn – ein information superhighway – soll nach den Plänen der amerikanischen Regierung alle Haushalte des Landes verbinden, zum freien Austausch von bewegten Bildern sowie privaten und geschäftlichen Informationen aller Art. Zur Zeit wächst eine Vorform dieses Datennetzes aus dem akademischen Bereich heraus: das Internet.

Aber auf dieser Autobahn – um im Bilde zu bleiben – tummelt sich eine merkwürdige Ansammlung von Fahrzeugen: Busse mit Rasenmähermotoren, Sportwagen mit Fahrradfelgen und Käfer mit Zwölfzylinder-Turbolader. Sicherheitsgurte und Airbags gibt es nur ausnahmsweise; Türschlösser, Windschutzscheiben, ja sogar Bremsen und Lenkrad gelten als entbehrliches Sonderzubehör. Zu allem Überfluß sind sämtliche Fahrzeuginsassen maskiert.

Selbst den Dauernutzern des Internet ist kaum bewußt, wie sehr sein Funktionieren von kollegialer Rücksicht abhängt. Die ungefähr 30000 Netzwerke mit insgesamt mehr als 2,5 Millionen Computern, deren Verbund das Internet ausmacht, tauschen täglich etliche Gigabytes an Information aus; einzige Grundlage des Vertrauens ist das digitale Äquivalent eines Handschlags mit einem Unbekannten. (Auch die genannte Größenangabe beruht auf nicht nachgeprüften Mitteilungen der Systemverwalter.) Die meisten Anwender wissen, daß eine über e-mail (elektronische Post) verschickte Nachricht außer von dem legitimen Empfänger von vielen anderen Personen gelesen werden kann. Nur wenigen aber ist klar, daß Mitteilungen über solche und ähnliche Kanäle nahezu spurlos fälschbar sind. Niemand, der eine Nachricht über das Internet empfängt, kann sicher sein, daß sie auch wirklich von dem angeblichen Absender stammt.

Ein elektronischer Imitator kann unter falschem Namen Verleumdungen oder Aufforderungen zu Straftaten verbreiten; er kann sich sogar als respektabler Kollege ausgeben und dadurch anderen vertrauliche private oder dienstliche Daten entlocken. Unter den wenigen Informierten, die sich über elektronische Fälschungen Gedanken machen, versteht wiederum nur eine kleine Minderheit, wie eine heimtückisch formulierte e-mail einem Hacker nahezu unbegrenzten Zugriff auf die Dateien des Empfängers verschafft. Und die Versendeprogramme für elektronische Post sind nur eine von zahlreichen Einfallspforten. "Es ist wie im Wilden Westen", sagt Donn B. Parker von der gemeinnützigen Forschungseinrichtung SRI (Stanford Research Institute) in Menlo Park (Kalifornien): "Gesetzlosigkeit, immenses Wachstum und Unternehmergeist. Nur wer zuerst schießt, überlebt."


Verfall der Sitten

Wie ist das Internet, in das so viele ihre Hoffnung auf wissenschaftlichen Fortschritt, allgemeinen Zugang zu Bildungsgut, geschäftlichen Erfolg und internationale Konkurrenzfähigkeit setzen, in diesen üblen Zustand geraten?

Anscheinend kann man einiges darüber am Beispiel seines altüberkommenen Vorläufers, des Telephonnetzes, lernen. Nicht nur die Spieler sind beim Telephon- und beim Computer-Hacken dieselben, auch die technischen Grundlagen der attackierten Systeme gleichen sich. Anscheinend machen auch die Ingenieure, die eine neue Kommunikationstechnik entwickeln, jedesmal dieselben Fehler wie ihre Vorgänger.

Einer der größten unter diesen Fehlern ist die Anwendung des Prinzips "Sicherheit durch Verschleiern". Immer wieder sind Versuche gescheitert, ein System durch Geheimhalten seiner Schwachpunkte zu schützen. Typisch dafür ist der Wettlauf zwischen der amerikanischen Telephongesellschaft AT&T und den Telephon-Hackern. In den sechziger Jahren konnte man sich noch kostenlose Ferngespräche verschaffen, indem man bestimmte Töne in die Telephonmuschel einspeiste. (Der Hacker John Draper trug den Spitznamen Captain Crunch, weil er entdeckt hatte, daß eine geeignet veränderte Kinderpfeife aus einer Cornflakes-Packung den 2600-Hertz-Ton zum Freischalten einer Fernleitung erzeugte.) Genaue Angaben über die Frequenzen waren in technischen Unterlagen und schwer zugänglichen Zeitschriften versteckt, aber Studenten und andere Leute spürten sie sehr schnell auf. Die Hacker bauten sogenannte schwarze, blaue und rote Boxen zur Erzeugung der erforderlichen Signale. So florierte eine Heimwerkerindustrie, bis die Telephongesellschaft ihre Schaltungen durch weniger manipulierbare ersetzte.

Später machten sich die Hacker die in den USA schon länger üblichen Telephon-Kreditkarten, mit denen man von irgendeinem Apparat aus gegen Buchung auf die heimatliche Telephonrechnung Gespräche führen kann, und das Funktelephon-Netz zunutze. Von dieser Auseinandersetzung profitierten schließlich auch die europäischen Telekommunikationsanbieter, weil sie für die Entwicklung ihrer Chipkarten-Systeme und der Funktelephon-Netze aus den Fehlern der amerikanischen Pioniere lernen konnten.

Ungefähr zur selben Zeit legten Wissenschaftler den Grundstein für den Vorläufer des Internet, das sogenannte ARPAnet. Obwohl ursprünglich das US-Verteidigungsministerium über seine Abteilung für Forschungsförderung (Advanced Research Project Agency, ARPA) die Anschubfinanzierung bereitstellte, wurden Sicherheitsfragen nicht ernsthaft diskutiert, erinnert sich der ARPAnet-Veteran David J. Farber, der jetzt an der Universität von Pennsylvania in Philadelphia tätig ist. "In der Anfangsphase hatten nur Wissenschaftler Zugriff", erläutert Eugene H. Spafford von der Purdue-Universität in West Lafayette (Indiana), "und die hatten alle ähnliche Ziele und Moralvorstellungen."

Die Art der Informationsübermittlung im Internet verkörpert diese vertrauensvolle Einstellung: Ein Computer leitet die Datenpakete über Netzwerkverbindungen zum nächsten weiter, bis sie – vielleicht nach zehn bis zwanzig Stationen – ihr Ziel erreichen. In jeder dieser zwischengeschalteten Maschinen ist der vollständige Inhalt der Nachricht zugänglich. Schlimmer noch: Die meisten Pakete beginnen ihre Reise in einem lokalen Netz (LAN nach local area network), wo unbefugtes Mitlesen noch einfacher ist. Jeder Computer in einem typischen LAN sendet die zu übermittelnden Informationen an alle anderen; andererseits liest jeder aus dem eingehenden Datenstrom nur die Nachrichten, die ihn angehen - wenn der entsprechende Teil des Betriebssystems nicht manipuliert ist.

"Der Mangel an Sicherheit im ARPAnet störte niemanden, weil er ein Teil des Systems war", erklärt Dorothy Denning, Professorin für Informatik an der Georgetown-Universität in der US-Bundeshauptstadt Washington. "Die heutigen Besorgnisse wären in der Anfangsphase gar nicht berechtigt gewesen."

Mit dem Wachstum des Internet änderte sich indes der Charakter seines durchschnittlichen Benutzers. Viele Neulinge hatten kaum eine Ahnung von der ungeschriebenen Übereinkunft und der in diesem Geiste geschriebenen Software, die ihrem schönen neuen Spielzeug zugrunde lagen.

Als 1988 Robert Morris, ein Jungakademiker an der Cornell-Universität in Ithaca (New York), mit einem sogenannten Wurm – einem zur Selbstvermehrung fähigen Programm – für mehrere Tage fast den gesamten Verkehr im Internet lahmlegte, wurde offenbar, daß die Nutzergemeinde in zwei Teile zerfallen war: nicht gerade Täter und Opfer, aber doch einerseits die Fachleute, welche die Vorgehensweise des Wurmerfinders zumindest nachvollziehen konnten, andererseits die Unwissenden, die Angriffen dieser Art hilflos ausgesetzt waren.

Seitdem ist das Internet nur noch verwundbarer geworden. Peter G. Neumann vom SRI, Verwalter des RISKS-Forums, das on-line über Computersicherheit und ihre Schwachstellen diskutiert, nennt die Situation "unglaublich schlecht". Ein PC, ein Modem und 20 Dollar Monatsgebühr genügen, um sich direkt an das Internet anzuschließen und damit das eigene Gerät elektronischen Angriffen auszusetzen – oder selbst welche zu führen. Vor einigen Jahren waren etablierte Internet-Adressen wie "mit.edu", "stanford.edu" oder "ibm.com" im wesentlichen unter sich ("mit" steht für das Massachusetts Institute of Technology in Cambridge, "stanford" für die kalifornische Universität dieses Namens; die Zugehörigkeit zur Hochschul- oder Geschäftswelt wird durch die Anhängsel "edu" wie educational beziehungsweise "com" wie commercial angezeigt). Heute kann man über "mtv.com" auch mit dem Videoclip-Sender oder über irgendwelche Phantasieadressen mit Hinterhof-Hackern, Anbietern pornographischer Software oder Verbreitern rechtsradikaler Propaganda Kontakt aufnehmen.

Mit der weltweiten Ausdehnung des Internet sinken die amerikanischen Gesetze in ihrer Wirksamkeit zu Vorschriften lokaler Bedeutung herab. So ist beispielsweise in den Niederlanden der Einbruch in Computersysteme nicht in jedem Falle strafbar. Spafford beschwert sich – vergeblich, wie er freimütig zugibt – über Informatik-Professoren, die ihren Studenten das unbefugte Eindringen in fremde Recher oder das Wiederbeschaffen von offiziell gelöschten Daten als Übungsaufgabe stellen.


Drum prüfe, wer sich erstmals bindet

Ironischerweise ist das Risiko einer Organisation, die sich an das Internet anschließt, um so größer, je gründlicher sie computerisiert und vernetzt ist. Das interne Netz eines Hochtechnologie-Konzerns ist in der Regel dem alten ARPAnet sehr ähnlich: Dutzende oder gar Hunderte von Benutzern lagern ihre Daten allgemein zugänglich auf wenigen zentralen Server-Maschinen und greifen von jedem beliebigen Arbeitsplatzrechner aus darauf zu.

Solange eine solche Insel der Seligen wirklich isoliert bleibt, ist es vielleicht vertretbar, wenn der Systemverwalter jeden Rechner im Netz so einstellt, daß er mit jedem anderen Kontakt aufnehmen kann, und häufig genutzte Dateien auf dem Server mit dem Attribut "world readable" versieht, so daß jeder Zugriff zu ihnen hat. Denn diese "Welt" endet an den Grenzen der Firma. Tatsächlich geben viele Hersteller ihren Systemen diese Art Urvertrauen bei der Auslieferung standardmäßig mit.

Kaum ist aber die Firma ans Internet angeschlossen, bedeutet "world" plötzlich wirklich die ganze Welt, und Dateien, die für die Kollegen aus der anderen Abteilung gedacht waren, sind jetzt auch von Finnland oder den Fidschi-Inseln aus lesbar. Dan Farmer von der amerikanischen Firma Sun Microsystems und Wietse Venema von der Technischen Universität Eindhoven (Niederlande) berichten, daß es selbst innerhalb renommierter Teilnetze Computer gibt, die nach allen Seiten weit offen sind – wie ein Auto, das man unverriegelt und mit eingestecktem Zündschlüssel über Nacht an der Durchgangsstraße stehen läßt.

Das Computer Emergency Response Team (CERT), eine Anlaufstelle für Sicherheitsprobleme an der Carnegie-Mellon-Universität in Pittsburgh (Pennsylvania), sah sich kürzlich zu einer bezeichnenden Alarmmeldung veranlaßt: Alle Workstations der Firma Sun waren so voreingestellt, daß die über das eingebaute Mikrophon eingehenden Daten für alle lesbar waren. So konnte jeder, der über das Netz Zugriff zu so einer Workstation hatte, die in der Nähe des Mikrophons geführten Gespräche abhören.

Eine andere Warnung betraf Tastatur und Bildschirm. Unter dem verbreiteten Betriebssystem Unix werden diese externen Geräte logisch wie Dateien behandelt; und beide waren standardmäßig als "world readable" eingestellt. Ein Angreifer konnte also geduldig mitlesen, bis sich jemand als "root" anmeldete. Unter Unix ist das der Name für den Systemverwalter; er impliziert die Berechtigung, anderen den Zugang zum System zu eröffnen oder zu entziehen und auf alle – auch fremde – Dateien im System zuzugreifen. Hat der Angreifer also das Password für "root" erspäht, ist keine Datei mehr vor ihm sicher. Zudem kann er Programme installieren, die ihm das Eindringen in andere Systeme erleichtern, oder durch Fälschung des Rechnerprotokolls seine Spuren verwischen.

Wenn sich ein sicherheitsbewußter Internet-Neuling über alle diese Fallstricke kundig machen will, wird ihm das häufig schwerfallen. Die meisten Hardware- und Software-Hersteller reden äußerst ungern darüber, erklärt Neumann. Das CERT in Pittsburgh wiederum verbreitet Sicherheitshinweise grundsätzlich erst dann, wenn die betroffenen Hersteller eine Lösung des Problems gefunden haben – mitunter Wochen oder Monate nach Bekanntwerden oder überhaupt nicht. Außerdem beschreibt ein solcher Hinweis in der Regel nicht das Problem selbst, sondern nur die betroffenen Hardware- und Software-Komponenten, und empfiehlt eine Modifikation.

Es ist nachvollziehbar, daß man den weniger gut Informierten unter den Hackern nicht auch noch Einbruchsanleitungen in die Hände spielen will. Andererseits werden dadurch auch viele Anfänger unter den Systemverwaltern im unklaren gelassen, rügt Neumann. "Sie bekommen die nötigen Informationen nur, wenn Sie einen erfahrenen Kumpel haben, der irgendwo anders Systemverwalter ist." Neumann schätzt, daß man die Hälfte bis drei Viertel aller Sicherheitslöcher, die Hackern zur Zeit bekannt sind, noch nicht öffentlich diskutiert hat.

Problematisch sind insbesondere Programme, die eigentlich dem Benutzer helfen sollen, sich auf der Suche nach bestimmten Informationen in der Netzwerklandschaft zurechtzufinden. Sie heißen Gopher (nach dem wühlmausartigen Wappentier der Universität von Minnesota in Minneapolis, wo es entwickelt wurde), World Wide Web oder Mosaic; ein schlichter Tastendruck oder Mausklick vermittelt einen Wissenschaftler etwa von einem Rechner in Tokio zu einem anderen in Melbourne oder Zürich. Das aktuelle Vorlesungsverzeichnis der lokalen Universität, die Daten der letz-ten amerikanischen Volkszählung, Bilder aus dem Frachtraum des Space Shuttle, Listen aller britischen Pubs oder Bezugsquellen für frei verfügbare Programme der Künstlichen Intelligenz stehen dem Suchenden zur Verfügung. Solche Dienstprogramme, die noch vor wenigen Jahren nur als Ideen in den Köpfen von Forschern existierten, locken nun Zehntausende von Anwendern an das Internet.

Eben mit dieser rasanten Entwicklung haben die Bemühungen um Sicherheit nicht mithalten können. Die Hacker, erläutert Spafford, greifen vorzugsweise auf die Frühversionen solcher Programme zurück, die zwar schon funktionierten, aber noch nicht nach professionellen Standards abgesichert waren.

Das verbreitete Programm Gopher hat, nach Hinweisen von CERT und aus anderen Quellen zu urteilen, ein Sicherheitsloch, durch das man nicht nur auf die zur Veröffentlichung vorgesehenen Daten, sondern auch auf private oder systemspezifische zugreifen kann. Mark Abene, ein Hacker, der zur Zeit eine einjährige Haftstrafe wegen seiner Tätigkeit verbüßt und danach seine Arbeit bei einem Netzdienstanbieter in New York wieder aufnehmen will, verfügt über detailliertere Erfahrungen: "Gopher ist nur dann unsicher, wenn es falsch konfiguriert ist." (In einem Interview skizziert Abene aus dem Kopf den Aufbau eines firmeninternen Nachrichtensystems und beklagt im selben Atemzug, daß eine Telephongesellschaft in vertraulichen Vermerken innerhalb eines solchen Systems völlig haltlose Bemerkungen über seinen Charakter gespeichert habe.)

Wenn man mit Hilfe von Gopher eine Information anfordert, etabliert die auf der Maschine des Benutzers lokalisierte Version des Programms (der client) eine Verbindung zu einem entsprechenden Programm irgendwo im Internet (dem server; die Namen beziehen sich auf die ungleichen Rollen der Programme als Nachfrager beziehungsweise Anbieter von Information). Der Server liefert dem Client ein sogenanntes Menü, eine Auswahlliste verfügbarer Informationen zusammen mit deren Fundstellen. Das sind Namen von Dateien auf der Maschine des Servers selbst oder Verweise auf andere Computer. Wenn der Benutzer weitere Informationen zu einem der angebotenen Themen haben möchte, sendet der Client den entsprechenden Dateinamen zum Server. Ein Benutzer kann nun seinen Gopher-Client relativ leicht so manipulieren, daß er eine Datei anfordert, die der Server gar nicht angeboten hat und die auch nicht zur Verbreitung vorgesehen ist. Ein Gopher-Server ist zwar ohne weiteres so einzustellen, daß er nur Zugriff auf explizit freigegebene Daten gewährt – aber das ist nicht Standard.


Briefbomben

Fehler dieser Art sind häufig. Wie Othello in William Shakespeares Drama seinem Fähnrich Jago, so vertrauen die Computer am Internet einander viel zu sehr. E-mail, wohl der bedeutendste Dienst im Netz, ist ein gutes Beispiel.

Ein elektronischer Brief ist ein Text, der aus einem Kopf mit Angaben zu Sender, Empfänger, Sendedatum, Betreff ("Subject") sowie Informationen über den bisher zurückgelegten Weg und – nach einer Leerzeile – einem Rumpf mit der eigentlichen Nachricht besteht. Obwohl die Postverwaltungsprogramme die Daten im Kopf der e-mail normalerweise korrekt eintragen, hindert nichts einen böswilligen Versender, statt dessen jede beliebige Information anzugeben. Eine Nachricht von "president@whitehouse. gov" kann ebensogut von einer Workstation in Amsterdam wie tatsächlich aus dem Weißen Haus in Washington stammen. Mit der Größe des Internet wächst auch der Anreiz zur Fälschung – ebenso wie die Gefahr, ihr zum Opfer zu fallen. Einzelpersonen und Firmen wickeln bereits Geschäfte über e-mail ab: Geld und Waren wechseln den Besitzer aufgrund eines elektronischen Vertrages.

Informatiker haben zwar Protokolle entwickelt, mit denen sich die Herkunft einer e-mail überprüfen läßt; aber auch die Betrüger haben ihre Methoden verfeinert. Beiträge zu dem elektronischen Diskussionsforum "comp.security.misc" illustrieren diese Entwicklung.

Einige sicherheitsbewußte Systemverwalter plädieren für den Einsatz des sogenannten IDENT-Daemons. Mit "Daemon" bezeichnet man das Software-Äquivalent unsichtbarer hilfreicher Geister: Programme, die permanent einsatzbereit sind, aber in der Regel nicht direkt vom Benutzer, sondern bei Bedarf von anderen Programmen aktiviert werden. Wenn ein Betrüger Verbindung zu einem fremden Computer aufnimmt und eine falsche Identität angibt (dies ist der erste Schritt zum Fälschen einer e-mail), kann der Mail-Server (das Postverwaltungsprogramm) auf der Maschine des Empfängers den IDENT-Daemon auf der des Angreifers aufrufen, um dessen Identität zu überprüfen.

Andere Verwalter wenden ein, daß der vom IDENT-Daemon zurückgelieferte Name nur so vertrauenswürdig ist wie der Computer, auf dem er läuft. Sobald ein Hacker die Herrschaft über eine Maschine erlangt hat, entweder weil er erfolgreich eingebrochen ist oder weil sie ihm gehört, kann er den IDENT-Daemon so manipulieren, daß er auf Anfragen einen ihm genehmen Namen zurückliefert.

Einige Systemverwalter versuchen diesen Bedrohungen zu begegnen, indem sie ihr System für Nachrichten aus nicht vertrauenswürdigen Teilen des Internet sperren. Das ist im Prinzip möglich, denn Internet-Adressen bestehen aus mehreren Zahlen, die wie Postleitzahlen hierarchisch organisiert sind: Gewisse Zahlenbereiche entsprechen sogenannten Domains, etwa einer Firma oder Universität. Wer eine Domain für von Hackern durchseucht hält, kann die entsprechende Nummer für eingehende Daten sperren.

Auch dagegen gibt es wiederum einen Trick. Wie Spafford erklärt, arbeiten die meisten Computer statt mit den numerischen Internet-Adressen mit der leichter zu merkenden Klartextform (etwa "uni-heidelberg.de"). Aber die sogenannten Domain Name Servers, welche die eine Form in die andere umsetzen, sind auch nur Programme und als solche im Prinzip von außen manipulierbar. Wenn erst ein geeignet gefälschter Name Server eine Anfrage nach einer dubiosen numerischen Adresse mit "harvard.edu" beantwortet, wird ein Computer, der Kontakte mit der renommierten Harvard-Universität in Cambridge (Massachusetts) akzeptiert, auch Post vom Hacker einlassen. Tatsächlich, so Spafford, ist es für ein Program nahezu unmöglich, mit Sicherheit zu wissen, woher aus dem Internet empfangene Datenpakete tatsächlich gekommen sind oder wohin gesendete Pakete geleitet werden.

Eine andere Klasse von Sicherheitsproblemen entsteht durch dieselbe Vielseitigkeit, die vernetzte Computer so nützlich macht. Wohl das beste Beispiel dafür ist der verheerende "sendmail bug", der in der Geschichte des Internet immer wieder aufgetaucht ist.

Die meisten Mail-Server können eingehende Dateien nicht nur für den Empfänger zugänglich auf der Festplatte ablegen, sondern auch an Programme weiterleiten. Der Eingang löst dann auf der Empfängermaschine automatisch den Ablauf eines Programms aus. Geht der Adressat etwa auf Reisen, kann er sich die elektronische Post nachsenden oder dem Absender eine vertröstende Antwort schicken lassen. Andere Programme sortieren die eingehenden Nachrichten nach bestimmten Merkmalen vor oder erledigen automatisch Standardaufgaben wie die Registrierung einer Konferenzanmeldung oder Adreßkorrekturen.

Nun kann dieser Mechanismus aber auch dazu mißbraucht werden, elektronische Post an andere als die dafür vorgesehenen Programme zu schicken, insbesondere solche, die sogenannte shell scripts – Folgen von Systembefehlen – ausführen. Ein solches Programm (eine shell) führt alle Kommandos aus, die der Absender in dem Rumpf seiner e-mail schreibt: die Password-Datei zum Zwecke der Analyse an den Angreifer senden, eine Datei etablieren, die späteres Einbrechen vereinfacht, oder schlicht alle Dateien des Empfängers löschen.

Das Überspielen der Password-Datei ist der erste Schritt zu einer verheerenden Attacke. Das Betriebssystem Unix überprüft Zugangsberechtigungen mit Hilfe des Passwords: Jeder Benutzer muß sich durch Eintippen einer geheimzuhaltenden Zeichenfolge ausweisen; das System vergleicht diese dann mit dem entsprechenden Eintrag in einem Verzeichnis. Diese Einträge sind zwar verschlüsselt, aber das Verzeichnis ist eine Datei wie jede andere. Wenn es also einem Hacker gelingt, die Password-Datei auf seinen Rechner zu kopieren, hat er noch nicht das Password, denn die Verschlüsselung ist praktisch unumkehrbar; doch er kann seinerseits eine lange Liste potentieller Passwords verschlüsseln und mit den Einträgen im Verzeichnis vergleichen. Ein Password auf diese Weise durch Probieren zu knacken ist um so einfacher, je gebräuchlicher es ist.

In neuen, über das Internet verteilten Versionen des Programms sendmail sind einige der kürzlich erkannten Schwachstellen ausgebessert. Wahrscheinlich haben die meisten Systemverwalter auch diese Version installiert – wenn sie darauf aufmerksam geworden sind. Trotzdem bleiben einige Systeme weiterhin verwundbar. Andere Mail-Server haben ähnliche Sicherheitslöcher.

E-mail ist auch nicht das einzige Mittel, Daten ohne Wissen des Empfängers in dessen Computer einzubringen. Steven M. Bellovin von den Bell-Laboratorien in Murray Hill (New Jersey) weist darauf hin, daß auch Gopher und andere Informationsrecherche-Programme riesige Datenmengen mit unter Umständen schädlichem Inhalt übertragen. Ein Hacker hätte wohl einige Mühe, einen Gopher-Server in seinem Sinne zu manipulieren; er müßte ihn sogar mit nützlichen Daten ausstatten, um Anwender zur Kontaktaufnahme zu veranlassen. Trotzdem würde sich Bellovin nicht wundern, "wenn eines Tages das Theater losgeht".


Schutzmaßnahmen

Wie kann sich der Neuling in der Netzwelt gegen diese Gefahren schützen? Sicherheitsexperten sind sich einig, daß der erste Schritt die Schulung der Benutzer und Systemverwalter ist, damit die ganz dummen Fehler vermieden werden.

Es gibt immer noch Leute, die einen Zettel mit ihrem Password neben die Tastatur hängen oder, selbst wenn sie über Zugriff mit besonderen Privilegien verfügen, überhaupt keines verwenden. Eine Studentin, der an der Universität von Michigan in Ann Arbor die Rolle des Verwalters für ein Workstation-Netzwerk aufgedrückt wurde, fand heraus, daß ein einfaches Rateprogramm etwa ein Viertel aller Passwords ermitteln konnte; fünf von 80 Anwendern benutzten gar ihren eigenen Namen. Es gibt Programme, die den Benutzer bei der Wahl seines Passwords zu mehr Phantasie zwingen, indem sie naheliegende Wörter zurückweisen; sie sind jedoch nicht sehr weit verbreitet.

Der nächste Schritt zur Verteidigung ist eine sogenannte Brandmauer (firewall), ein Computer, der das interne Netzwerk vor Angriffen schützt (Bild 2). Dieses System ist in vielen großen Firmen gängig und setzt sich allmählich in den Universitäten durch. Eine Firewall prüft sämtliche ankommenden und abgehenden Datenpakete und blockiert Verbindungen von und zu unsicheren Adressen oder Dateien verdächtigen Inhalts. "Wer das Netzwerk einer Firma direkt an das Internet anschließt, sollte fristlos entlassen werden", fordert Farber.

Das Konzept gerät jedoch sehr rasch in Konflikt mit den Wünschen der Benutzer. "Einige Dienste kann man einfach nicht sichern", sagt Marcus J. Ranum von der Firma Trusted Information Systems, der an der Installation der Firewall in "whitehouse.gov" beteiligt war. Gopher und Mosaic seien zwei Programme, deren vertrauensselige Natur mit den Schutzanforderungen nicht vereinbar sei. In solchen Fällen müsse man sich damit begnügen, das Risiko zu minimieren, anstatt es vollständig auszuschließen.

Zu den unabweisbaren Wünschen der Benutzer gehören nach Bellovin Empfang und Versenden elektronischer Post, auch wenn das zuständige Programm nachweisbar unsicher sein sollte, des weiteren die Möglichkeit, Tastatur und Bildschirm der eigenen Maschine als Terminal eines entfernten Computers zu nutzen (remote login) und Dateien aus öffentlichen Archiven oder von Kollegen in anderen Institutionen herbeizuschaffen. Um diese Dienste anbieten zu können, hat AT&T eine Firewall aus zwei eigens dafür abgestellten Computern installiert. Der eine ist mit dem Internet, der andere mit dem internen Netz der Firma verbunden. Die externe Maschine untersucht alle ankommenden Pakete und leitet nur die als sicher eingestuften an ihre interne Kollegin weiter; außerdem nimmt sie abgehenden Datenverkehr nur von dieser an. Wer also unbefugt Daten aus dem Netz von AT&T holen oder in dieses hineinschleusen will, müßte zuvor den internen Firewall-Computer unterwandern. Das aber ist mangels direkten Zugriffs sehr schwierig.

Andere Dienste sind wesentlich problematischer. Wenn ein Angehöriger der Firma von auswärts über remote login am heimischen Computer arbeiten möchte, könnte jede Zwischenstation der Verbindung im Internet manipuliert sein und alle Pakete – insbesondere das Password – mitlesen. Tatsächlich gelang in zwei unabhängigen Fällen im Oktober 1993 Hackern der Zugriff auf Panix, ein öffentlich zugängliches Internet-System in New York, und auf BARRnet, das System eines Diensteanbieters in Kalifornien. Sie installierten sogenannte Paket-Schnüffler. Diese Programme lesen alle vorbeikommenden Daten mit und speichern gezielt Benutzernamen und Passwords, sobald sich ein Anwender an einem System anmeldet. Nach Angaben der Systemverwalter von Panix wurden so die Dateien Hunderter von Benutzern dem Angriff ausgesetzt.

Ranum meint, daß damit konventionelle Passwords eigentlich sinnlos geworden seien. Das System müsse sich auf andere Weise vergewissern, daß es der legitime Benutzer ist, der Zugriff verlangt. Irgendeine Zeichenfolge, die ein Schnüffler mitschreiben und später nachspielen könnte, ist dafür offensichtlich ungeeignet. Zwei neue Verfahren sind mittlerweile an einigen Stellen im Einsatz: Passwords zum einmaligen Gebrauch und die sogenannte Challenge-Response-Methode.

Im ersten Falle muß der Benutzer eine Liste der (vom System durch Zufall erzeugten) Einmal-Passwords mitführen und bei jeder Anmeldung das jeweils nächste nennen. Wird ein Password zum zweiten Male verwendet, so hat der Benutzer entweder vergessen, es von der Liste zu streichen, oder es handelt sich tatsächlich um einen Einbruchsversuch.

Beim Challenge-Response-Verfahren stellt die Maschine eine zufällig erzeugte Frage (challenge), auf die der Anmelder die richtige Antwort (response) geben muß, um Zugang zu erhalten. Meistens besteht die Frage aus einer Zahl, die mit einer nur dem legitimen Benutzer bekannten Geheimzahl zur Antwort zu verknüpfen ist. Das mathematische Verfahren dieser Verknüpfung ist so gewählt, daß man aus challenge und response nicht auf die Geheimzahl rückschließen kann; Schnüffeln nützt also in diesem Falle nichts. Da die meisten Menschen sich hundertstellige Zahlen weder merken noch im Kopf multiplizieren können, gehört zu einem kommerziellen Challenge-Response-System meist ein Taschenrechner, in den die Geheimzahl eingespeichert und der seinerseits durch ein kürzeres, von einem Menschen merkbares Password gesichert ist.

Sichern durch Verschlüsseln

Wenn schon Passwords im Internet nur in chiffrierter Form transportiert werden sollten, wie steht es dann mit anderen sensitiven Informationen? Seit mehr als fünf Jahren bemüht man sich um Standardisierung für elektronische Post mit erhöhtem Vertraulichkeitsschutz (privacy-enhanced mail), aber das wird sich nur sehr zögernd durchsetzen.

Verschlüsselung kann auch der Authentifizierung dienen: Kryptosysteme mit veröffentlichtem Schlüssel (public-key cryptosystems; im Deutschen ist die Bezeichung "asymmetrische Schlüsselsysteme" üblich) verschaffen sowohl dem Absender als auch dem Empfänger Gewißheit über die Identität des Partners. Allerdings ist Verschlüsselungs-Software aller Art immer noch Gegenstand politischer und juristischer Auseinandersetzungen. Die Regierung der USA verbietet beispielsweise ihren Export, obwohl leistungsfähige Programme dieser Art in Europa frei verfügbar sind.

Das wohl bekannteste asymmetrische Schlüsselsystem, die RSA-Chiffre, steht innerhalb der USA unter Patentschutz (vergleiche Spektrum der Wissenschaft, Mai 1993, Seite 19). RSA Data Security, die Firma der Erfinder Ronald Rivest, Adi Shamir und Leonard Adleman, wacht mit Argusaugen über die Einhaltung der Vorschriften. Obwohl Software für Public-Key-Verfahren weit verbreitet ist, können Anwender außerhalb der amerikanischen Regierungsbehörden sie nicht einsetzen, ohne einen Rechtsstreit wegen Patentverletzung zu riskieren.

Zu allem Überfluß hat die Regierung der USA kürzlich Clipper, einen weiteren Verschlüsselungsalgorithmus, dessen genaue Struktur geheimgehalten wird, als Standard propagiert. Eine damit chiffrierte Nachricht kann auch ohne Kenntnis des Schlüssels mit einer Art Nachschlüssel dechiffriert werden, einer Zeichenfolge, die von einer Behörde verwaltet werden soll. Dadurch würde staatlichen Stellen das Abhören nach einem entsprechenden Gerichtsbeschluß möglich sein. Auch in Deutschland beginnt zur Zeit die Diskussion um einen ähnlichen Ansatz.

Obwohl zahlreiche Bürgerrechtler und Computer-Wissenschaftler dagegen opponiert haben, kommt von einigen Stellen in der Industrie Zustimmung: "Mit absoluter Vertraulichkeit kann eine Demokratie nicht funktionieren", argumentiert Parker. "Es geht nicht darum, ob die Netzwelt der Gesetzgebung unterworfen wird, sondern wann Recht und Ordnung dort einkehren."

Für Ranum besteht das Internet der Zukunft aus vielen nicht-öffentlichen Enklaven hinter Firewalls, die er und seine Kollegen installieren. Farber hingegen sieht für das Internet in den nächsten Jahren zwei Möglichkeiten: entweder drastische Erweiterung oder völliger Neubau der existierenden Dienste, um eine sichere Basis für die Zukunft zu schaffen. Er läßt keinen Zweifel daran, daß er die zweite bevorzugt. Spafford drückt das etwas düsterer aus: "Es ist wie ein Teufelskreis. Jeder möchte benutzen, was bereits existiert. Aber diese Standards sind durch und durch veraltet; darauf sollte man nicht aufbauen."

Derweil wächst das Internet weiter. Privatleute, Wissenschaft und Geschäftswelt vertrauen ihm weiterhin ihr Wissen, ihr Geld und ihren guten Namen an. Selbst wenn Informatiker ein völlig neues System zu entwerfen vermöchten, wäre zweifelhaft, ob es sich noch gegen die alte Hard- und Software und das Prinzip freiwilliger Kooperation durchsetzen könnte.

Paul Wallich ist Redakteur von Scientific American.

Literatur und Informationen

Practical Unix Security. Von Simson Garfinkel und Gene Spafford. O'Reilly and Associates, 1992.

Zen and the Art of the Internet. Von Brendan P. Kehoe. Prentice-Hall, 1993.

Improving the Security of Your Site by Breaking into It. Von Dan Farmer und Wietse Venema. Zu beziehen über ftp von win.tue.nl als Datei /pub/security/admin-guide-to-cracking.Z.

Forum on Risks to the Public in Computers and Related Systems. Erreichbar über die Usenet-Newsgroup comp.risks; zu beziehen über e-mail von risks-request@csl.sri.com, frühere Ausgaben über ftp von crvax.sri.com, Directory RISKS:.

Weitere Usenet-Newsgroups zum Thema Computer-Sicherheit sind comp.security.misc, comp.security.unix und alt.security.

Die Sicherheitshinweise des genannten CERT sind erhältlich über ftp von cert.org, weitere Informationen zum Thema von tis.com (Trusted Information Services) und research.att.com.


Aus: Spektrum der Wissenschaft 5 / 1994, Seite 64
© Spektrum der Wissenschaft Verlagsgesellschaft mbH