Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Die Datenkarawane nach Berlin

Der Regierungsumzug hat auch IT-Aspekte

Copyright (C) 07/1999 by Howard Fuhs


Während für die einen die Urlaubszeit beginnt, müssen die Möbelpacker von Bonn Überstunden machen. Der Bundestag mitsamt seinen Abgeordneten zieht um nach Berlin. Damit im September für die Abgeordneten in Berlin "Business as Usual" herrschen kann, müssen die Planer ein logistisches Meisterwerk in Gang setzen um ihr Ziel zu erreichen. Mit den Abgeordneten ziehen nicht nur Büromöbel um (wenn überhaupt) sondern auch jede Menge Büropflanzen, Akten, Computer und Daten. Und wo Computer und Daten umziehen muß natürlich auch für eine entsprechende Datensicherheitgesorgt werden. Da den Verantwortlichen die Gefahr zu groß war die Computer mitsamt den Daten zu transportieren (immerhin sind schon öfters ganze Computer mit sensiblen Daten aus öffentlichen Verwaltungsstellen verschwunden) entschied man sich für das Splitting von Daten und Computer. Wie der "leere" Computer nach Berlin kommt dürfte damit nicht weiter erklärungsbedürftig sein. Doch wie kommen die separierten Daten sicher nach Berlin? Da die Möglichkeit der Datendiskette in den Händen des einzelnen Abgeordneten als zu unübersichtlich und ebenfalls zu gefährlich angesehen wurde (Disketten sind schneller "verloren" als Computer), entschied man sich für die verschlüsselte Übertragung der Daten über eine Standleitung.

Dabei werden die Daten des Abgeordneten auf dessen Computer mit einem nur ihm bekannten Paßwort verschlüsselt, anschließend auf einen Server transferiert, der wiederum an der Standleitung nach Berlin dranhängt. Ist der Abgeordnete mitsamt Computer erst einmal umgezogen, können die Daten über die Standleitung wieder direkt auf den Computer des Abgeordenten zurückübertragen werden und mit dessen Paßwort entschlüsselt werden (vereinfacht dargestellte Funktionsweise!). Eigentlich sollte diese Art des Datentransportes eine vernünftige Sicherheit für den Datenbesitzer bedeuten doch dann kam das "Heute Journal" des ZDF und interviewte einen Abgeordneten speziell zu dem Thema des Datenversands nach Berlin. Dabei blickten große treue Politikeraugen in die Fernsehkamera und der Abgeordnete tat kund, daß die Daten auf seiner Festplatte nichts besonderes wären, er gegenüber dem Volk keine Geheimnisse habe und jeder ruhig Einblick nehmen könnte. Und damit dies dann auch sichergestellt ist verriet er vor laufender Kamera das gewünschte Paßwort zur Dateiverschlüsselung (welches zu lang war - der Vorname seiner Ehefrau) und das tatsächlich verwendete Paßwort. Als Insasse dieses Staates und aktiver Wähler freut es mich ungemein zu sehen, wie bürgernah unsere Abgeordenten sind, doch für einen Fachmann für Datensicherheit schreit dieses aktuelle Beispiel geradezu nach näherer Betrachtung. Denn dieser Vorfall ist typische für eine weit verbreitete Einstellung gegenüber der Datensicherheit.

Für die die überwiegende Mehrheit der Computernutzer ist Datensicherheit nur dann nötig und einsichtig, wenn es sich um "geheime" Daten handelt die für andere nicht zugänglich sein sollen. Was dabei aber ganz vergessen geht ist die Datenintegrität. Mit Maßnahmen zum Schutz und Erhalt der Datenintegrität soll in der Praxis sichergestellt werden, daß Daten nicht einfach von einer Person oder einem Computer verändert, manipuliert, gefälscht, zerstört oder hinzugefügt werden. Weiterhin sollen diese Maßnahmen die Möglichkeit bieten, falls dann doch Daten verändert wurden, die Veränderung anzuzeigen und zu dokumentieren, und bei noch sichereren System auch in einer entsprechenden Log-Datei festzuhalten wer und mit welchen Mitteln die Veränderungen durchgeführt wurden.

Egal ob vertrauliche oder öffentlich zugängliche Daten, auf jeden Fall müssen Mechanismen vorhanden sein, welche die Datenintegrität gewährleisten und schützen. Also auch wenn nur Abgeordnetendaten nach Berlin transferiert werden, in die auch jeder Normalbürger Einblick nehmen dürfte, sind entsprechende Datensicherheitsmaßnahmen durchaus angebracht. Ein enfaches Beispiel für Datenintegrität durch geeignete Datensicherheitsmaßnahmen wie das Vergeben von Paßwörten usw. sind die unzähligen Web-Server im Internet. Hier stellen sich Unternehmen entsprechend ihrer Corporate Identity dar und bieten von Werbung über Informationen bis hin zu Dienstleistungen alles an. Die Daten werden öffentlich zur Verfügung gestellt, ein Besuch auf dem Web-Server ist sehr erwünscht. Warum also, wenn man keinen Wert auf Datenintegrität legt, sind diese Web-Server zumindest mit einem Paßwort geschützt? Die gehackten Web-Sites im Internet sind Legende, von der CIA und dem FBI bis hin zu Symantec und Microsoft.

Als nächstes stellt sich dem Fachmann nämlich die Frage, wie der Abgeordnete wohl reagieren würde, wenn die Daten die in Berlin auf seinem Rechner ankommen nicht mehr die gleichen sind die in Bonn abgeschickt wurden. Wie wäre es mit einer Datenmanipulation die den Schluß zulassen würde, der Abgeordnete würde Gelder der öffentlichen Hand veruntreuen, würde Spionage für ein anderes Land betreiben oder ihm noch schlimmere Dinge mehr oder weniger beweiskräftig unterstellen? Eigentlich müßte man ihm selbst zuerst vorwerfen, daß er mit seiner äußerst naiven öffentlichen Handlungsweise eigentlich Angreifer geradezu herausgefordert hat und er in nicht unerheblichem Umfang an seiner Misere selbst Schuld ist. Eher wahrscheinlich wird aber sein, daß dann entrüstete Interviews gegeben werden in denen gleichzeitig gesetzliche Maßnahmen gefordert werden deren Wirkungsweise eher als zweifelhaft anzusehen ist.

Nur wenige Wochen später wußte dann ebenfalls eine Nachrichtensendung mit beeindruckenden Bildern zu belegen, daß die Daten einer SPD-Abgeordneten zwar sicher in Berlin angekommen waren, nur dafür aus dem Computer die Festplatte ausgebaut und gestohlen wurde.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 07/1999 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher