Klaus-Peter Kossakowski: Computer-Würmer

Klaus-Peter Kossakowski: Computer-Würmer

Zur Person

Größere Projekte

6.2 Ein Blick in die Zukunft

Es ist grundsätzlich problematisch, Aussagen über eine zukünftige Entwicklung zu machen. Dennoch ist es meines Erachtens sinnvoll, in diesem Abschnitt Anregungen zu weiteren Forschungsaktivitäten, die auf den in dieser Arbeit aufgeworfenen Fragen und dargestellten Sachverhalten aufbauen können, zu geben. Auch soll eine subjektive Einschätzung der zu erwarteten zukünftigen Bedrohung durch Computer-Würmer versucht werden.

Anregungen zu weiterführenden Arbeiten

Kernpunkt des fünften Kapitels waren bereits bekannte Sicherheitskonzepte und Sicherheitsmaßnahmen, die zum Schutz vor Computer-Würmern eingesetzt werden können. Dieser pragmatische Ansatz der Arbeit könnte Ansatzpunkte für weiterführende Arbeiten auf diesem Gebiet bilden. Einige wichtige Punkte, bei denen ein Bedarf für Neu- bzw. Weiterentwicklungen festgestellt wurde, sollen hier aufgeführt werden:

Integritätsmodelle:

Die heute verbreiteten Sicherheitsmodelle im Bereich der Integrität haben z. B. vom Bell-LaPadula-Modell aus dem Bereich der Vertraulichkeit die Sichtweise übernommen, daß es Benutzer sind, die auf Daten zugreifen. Diese eingeschränkte Sichtweise wird der Bedeutung von Prozessen, die im Auftrag von Benutzern agieren, nicht gerecht. Verfügt ein Prozeß über alle Rechte eines Benutzers, stellt dies einen Verstoß gegen das Prinzip der geringsten Berechtigung dar. Eine Verbesserung kann erreicht werden, wenn vier Beziehungen berücksichtigt werden:
- Rechte von Benutzern gegenüber Daten
- Rechte von Benutzern gegenüber Programmen
- Rechte von Programmen gegenüber Daten
- Rechte von Programmen gegenüber Programmen
Verbesserung der Mandatory Access Control:

Wo immer dies möglich ist, sollten statt der Discreationary Access Control Maßnahmen der Mandatory Access Control eingesetzt werden. Ausgehend von verbesserten Integritätsmodellen können bestimmte Beziehungen, beispielsweise Programme gegenüber Daten und anderen Programmen, unabhängig von den Festlegungen der Benutzer durchgesetzt werden. Solche Kontrollen schränken unter anderem das Ausmaß möglicher Manipulationen an Programmen durch andere Programme ein.
Intrusion/Anomaly Detection and Avoidance:

Auf diesem relativ neuen Arbeitsgebiet werden bereits in einigen wenigen Forschungsprojekten Ansätze verfolgt, die sich auf die Ebene lokaler Netzwerke konzentrieren. Grundsätzliche Probleme, so die nicht vorhandene Netzwerksicht und die eingeschränkte Verfügbarkeit von Informationen, erschweren die Anwendbarkeit. Ähnlich wie bei den einbruchsentdeckenden und -vermeidenden Systeme für einzelne Rechner wird der praktische Einsatz solcher Systeme in Netzwerken nur eingeschränkt möglich sein.
Weiterentwicklung verteilter Systeme:

Obwohl auf verteilte Systeme in dieser Arbeit nur am Rande eingegangen wurde, verfügen solche Systeme über Eigenschaften, die auch durch die Verwendung von Computer- Würmern im Rahmen von konstruktiven Experimenten erreicht werden sollten. Eine Weiterentwicklung verteilter Systeme könnte es dementsprechend unnötig machen, die Technik der Computer-Würmer für konstruktive Zwecke einzusetzen. Damit könnte unabhängig von der Antwort auf die Frage, ob es konstruktive Computer-Würmer geben kann, diese Technik als unnötig eingestuft werden. Dies würde auch den Schutz vor als Systemanomalien einzustufenden Computer-Würmern erleichtern.
Eine solche Vorgehensweise löst jedoch das Grundproblem nicht, sondern setzt nur bei den Voraussetzungen für eine bestimmte Systemanomalie an. Beispielsweise könnten andere Systemanomalien an Bedeutung gewinnen bzw. eine ähnliche Bedrohung darstellen. In bezug auf verteilte Systeme ist dabei vor allem an Bakterien zu denken.

Überlegungen zur zukünftigen Entwicklung

Systemanomalien rufen selbst dann, wenn sie in einem System nicht vorhanden sind, bei den Benutzern Verhaltensänderungen hervor. Mit dem Auftreten von Computer-Viren und Computer- Würmern hat sich das Denken der Benutzer verändert, sie empfinden eine vage Furcht und führen im Extremfall jede ungewöhnliche Beobachtung auf die Aktivität einer noch nicht erkannten Systemanomalie zurück. Die Angst vor Computer-Würmern und Systemanomalien im allgemeinen steigert die Unsicherheit und das Mißtrauen gegenüber Systemen, ohne daß dazu ein objektiv erkennbarer Grund vorliegt. Die bisherigen Ereignisse und die bekanntgewordenen Angriffe haben zu einer Veränderung der subjektiven Einschätzung der Sicherheit von Systemen geführt.

Die in dieser Arbeit versuchte Vorstellung der vielfältigen Möglichkeiten, wie es dazu kommen kann, daß ein System über die für Computer-Würmer notwendigen Funktionalitäten verfügt und wie diese kombiniert und eingesetzt werden können, könnte diese Angst weiter schüren. Zwar existieren viele zu berücksichtigende Faktoren, die in dieser Arbeit dargestellt werden sollten, doch könnte die nicht gewichtete Darstellung zu einem falschen Eindruck führen. Die Darstellung der drei bekanntgewordenen Angriffe und das Wiederaufgreifen einzelner Aspekte dieser Angriffe zum Abschluß der Kapitel 3, 4 und 5 sollte dazu beitragen, ein realistischeres Bild zu zeichnen. Zusammen mit den Ausführunge in Kapitel 5 sollte deutlich gemacht werden, daß für die Abwehr von Computer-Würmern geeignete technische Konzepte bereits verfügbar sind. Allerdings hängt die Verfügbarkeit bestimmter Sicherheitsfunktionen von den eingesetzten Systemen ab. Und auch wenn die notwendigen Sicherheitsfunktionen verfügbar sind, müssen sie entsprechend eingesetzt werden, damit sie ihre Wirkung entfalten können.

Für die Einschätzung der weiteren Entwicklung müssen verschiedene Aspekte berücksichtigt werden: Das Wissen über Protokolle und Schnittstellen, über die in Netzwerken eingesetzten Systeme und die Sicherheitsfunktionen der Systeme, über die allgemeinen Maßnahmen zur Verbesserung der Sicherheit sowie die Personen, die als Wurm- Entwickler in Frage kommen:

Das Wissen über die unterschiedlichen Protokolle und Schnittstellen muß zumindest für die auf dem freien Markt verfügbaren Systeme als bekannt vorausgesetzt werden. In Zukunft werden noch schneller als bisher technische Details veröffentlicht werden, da immer mehr Menschen, auch solche, die nicht als Informatiker oder Experten eingestuft werden können, in ihrer Freizeit oder an ihrem Arbeitsplatz immer komplexer werdende Systeme bedienen und programmieren. Die auf der technischen Seite immer stärker werdende Normierung auf einige wenige Schnittstellen führt dazu, daß unerschiedliche Systeme mit dem gleichen Wissen bedient und programmiert werden können.

Der Anteil der PCs und Workstations an den eingesetzten Systemen wird immer mehr zunehmen. Es sind gerade diese sehr leistungsstarken, aber relativ einfachen Systeme, die von immer mehr Menschen programmiert werden können. Die Vernetzung nimmt ständig zu, wobei deren Leistungsfähigkeit ebenfalls steigt. Durch die Einführung integrierter Netzwerke im Rahmen des Integrated Services Digital Network (ISDN) werden in einem Netz verschiedene Dienstleistungen zusammengefaßt, die heute noch durch unterschiedliche, teilweise physikalisch getrennte Netzwerke erbracht werden. Diese Integration führt gerade im Hinblick auf die Bedrohung durch Computer-Würmer zu neuen Risiken, da die direkten und indirekten Auswirkungen von Systemanomalien jetzt in dem einzigen Kommunikationsnetzwerk stattfinden. [Fußnote 1] Die stattfindende Normung und die Aufstellung von de-facto-Industriestandards reduziert und vereinheitlicht die existierenden Schnittstellen für die Programmierung und Kommunikation. [Fußnote 2] Dies vereinfacht auch die Entwicklung von Programmen bzw. die von Programmen auf eine andere Systemarchitektur. Einfach zu bedienende und vielfältig nutzbare Entwicklungssysteme tragen zu dieser Vereinfachung noch bei.

Die in den Systemen eingesetzten Sicherheitsfunktionen verändern sich nur langsam. Gerade bei Workstations und PCs ist dies problematisch, da diese Systeme, die bisher in der Forschung und im Privatbereich angesiedelt waren nun immer mehr Eingang in alle Bereiche unserer Wirtschaft und Verwaltung finden. Dort aber sind sie Risiken und Bedrohungen ausgesetzt, die bei ihrer Entwicklung nicht berücksichtigt wurden. Durch die Vernetzung solcher Systeme wird die Situation also noch verschärft. Es besteht darum ein dringender Bedarf an entsprechenden Weiterentwicklungen. Dies betrifft auch die Kommunikationsprotokolle. Zur Zeit zeigt sich das steigende Bewußtsein für diese Problematik in Bestrebungen, beispielsweise die Vertraulichkeit von Electronic Mail in die Protokolle zu integrieren. Die heute existierenden Weitverkehrsnetze zeichnen sich noch durch eine eingeschränkte Funktionalität aus, in der Dienstleistungen selektiv bereitgestellt werden. Das grundsätzliche Problem sind die immer wieder auftretenden Sicherheitslücken; die größte Schwachstelle ist der Benutzer, dessen Verhalten bestimmte Sicherheitslücken erst schafft.

Gerade der Internet-Wurm hat ein Bewußtsein für das Ausmaß der Verletzlichkeit heutiger Systeme und Weitverkehrsnetze geweckt. Auf die Sicherheit von Systemen wird zunehmend Wert gelegt, dennoch werden allzuoft Maßnahmen, die nachträglich hinzugefügt werden können, bevorzugt. Ein typisches Problem stellt die Entscheidung für ein bestimmtes System dar, das erst nach der Anschaffung 'abgesichert' werden soll. Da aber zugleich weitreichende Anforderungen an die Funktionalität gestellt werden, kann die für eine Absicherung notwendige Einschränkung der System-Funktionalität nicht vorgenommen werden.

Das Informationsangebot von Computer-Notfall-Teams stellt eine allgemeine Verbesserung dar. Die Unterstützung bei vorbeugenden Maßnahmen, die Information über Sicherheitslücken und verfügbare Korrekturen und die Hilfestellung bei Angriffen verbessern die Sicherheit der betreuten Systeme. Trotz der heute in vielen Netzwerken verfügbaren Dienstleistung müssen für große interne Netzwerke eigenständige Gruppen aufgebaut werden, die sich auf die individuellen Details konzentrieren können. Die Möglichkeit, die Dienstleistungen von Notfall-Teams in Anspruch zu nehmen, reicht allein nicht aus, da die Maßnahmen lokal auch umgesetzt werden müssen, da sonst eventuell allgemein bekanntgewordene Sicherheitslücken nicht geschlossen werden. Überhaupt muß davon ausgegangen werden, daß die Existenz von Sicherheitslücken nicht geheimgehalten werden kann.

Für berechtigte Benutzer von Systemen und Netzwerken gibt es weitaus unauffälligere Möglichkeiten als Computer-Würmer, ein destruktives Ziel zu erreichen. Doch obwohl es immer wieder vorkommt, das ein Benutzer seine Rechte und Möglichkeiten in gravierendem Maße mißbraucht, stellen sie im Vergleich zu der Gesamtzahl aller Benutzer eine Minderheit dar. Doch kann der von ihnen verursachte Schaden erheblich sein und ein solcher Mißbrauch darf darum nicht toleriert werden. Gerade in Netzwerken, in denen Eindringlinge über verschiedene Kommunikationswege in Systeme eindringen können, die physikalisch nicht erreichbar wären, gibt es aufgrund existierender Sicherheitslücken fast in jedem Fall Systeme, die nur unzureichend geschützt sind. Dies allein wäre für die anderen Systeme eines Netzwerks unproblematisch, wenn nicht dadurch auch berechtigte Zugriffe mißbraucht werden könnten. So hängt in vielen Fällen die Sicherheit einzelner Systeme in Netzwerken von der Sicherheit der anderen Systeme ab.

Meines Erachtens sind zwei grundsätzliche Wege für die weitere Entwicklung denkbar: Der eine führt zu immer einfacheren, leistungsstärkeren Systemen, die nur unzureichend vor der Verwendung für destruktive Zwecke geschützt sind. Der andere Weg führt zwar gleichfalls zu einem Einsatz solcher Systeme, doch werden erhebliche Anstrengungen unternommen, die Sicherheit als integralen Bestandteil der Konzeption aufzufassen, die Sicherheitsfunktionen zu verbessern, die Funktionalität einzuschränken oder sicherere Formen ihrer Bereitstellung zu finden. Der Einsatz für destruktive Ziele kann so zwar nicht ausgeschlossen werden, jedoch wird er wirksam eingeschränkt. Unabhängig von diesen technischen Erwägungen muß bei allen Menschen, die mit dem Einsatz von Netzwerken konfrontiert sind, ein Bewußtsein dafür gefördert werden, daß ein anomales Verhalten der darin eingebundenen Systeme aufgrund der potentiellen Folgen im eigenen Interesse nicht geschaffen und nicht toleriert werden darf. Besteht darüber ein gesellschaftlicher Konsens - letztendlich ist jeder Mensch innerhalb unserer Gesellschaft heute von den Ergebnissen der Informationstechnologie abhängig - muß der Minderheit derjenigen, die wissentlich und vorsätzlich einen Mißbrauch ausüben, entgegengetreten werden. Wie in allen anderen Bereichen des gesellschaftlichen Lebens ist es hier nicht allein mit moralischen Wertsetzungen getan, da sich Menschen an solche gesellschaftliche Normen nicht gebunden fühlen können. So müssen entsprechende Sanktionen und vorbeugende Maßnahmen getroffen werden, um das Risiko auf ein vertretbares Maß zu senken, das die Gesellschaft nicht gefährdet.

Fußnoten:

Durch einen Computer-Wurm könnte absichtlich oder durch Fehler auch die Möglichkeit zur Telefon-Kommunikation stark eingeschränkt werden. Ohne ein redundantes System wäre so auch die Kommunikation von Computer-Notfall-Teams, den Verantwortlichen der betroffenen Systeme und alle anderen Besitzer eines Telefons betroffen. Eine solche Situation wäre mit dem Auftreten des Internet-Wurms vergleichbar, der die Funktion der herkömmlichen Kommunikationsmittel so sehr einschränkte, das sie nicht für eine schnelle Gegenreaktion verwendet werden konnten.
Bei allen Vorteilen einer Standardisierung darf der Einfluß solcher Bemühungen auf die Sicherheit von Systemen und Netzwerken nicht unterschätzt werden. Durch die Vereinheitlichung fallen natürliche Abgrenzungen weg, die beispielsweise auch den Wirkungskreis von Computer-Würmern eingeschränkt haben. Eine Gleichmacherei ohne massive Maßnahmen zur Sicherung der Systeme und Netzwerke ist fatal.