1. Grundprobleme von Datenschutz und Datensicherheit
Die Sicherheitsschalen eines geschlossenen Systems
Ist eine der äußeren Schalen durchlässig, so lässt sich der
Schutz der inneren Schalen umgehen. Ein besseres Bild ist also das einer Kette:
Eine Kette ist nicht sicherer als ihr schwächstes Glied.
Beispiele
- Die physische Sicherheit, die ein abschließbarer Raum bietet,
nützt nichts ohne organisatorische Sicherheit - wenn sich niemand
für das Abschließen zuständig fühlt.
- Die Hardware-Sicherheit durch einen versiegelten PC nützt nichts ohne
physische Sicherheit: Ein Dieb kann den PC einfach wegtragen und zu Hause
in aller Ruhe aufbrechen. Oder das FBI installiert einen
Tastaturspion (»Keylogger«).
- Die Betriebssystemsicherheit eines Passwortschutzes (oder des NTFS)
für die Festplatte
nützt nichts ohne eine Hardwaresicherung, die das »Booten« von einer
anderen Quelle (z. B. einer Diskette) verhindert.
- Die Anwendungssicherheit durch Vergabe von Zugriffsrechten in einem
Datenbanksystem nützt nichts, wenn das Betriebssystem gestattet,
Dateien mit einem Editor zu analysieren.
- Die Sicherheit der PGP-Verschlüsselung nützt nichts auf einem
Rechner, auf dem ein »Trojanisches Pferd« die Passphrase ausspäht.
Z. B. KL.EXE (KeyLogger).
Stahltüren in
Pappwänden nützen nichts.
Gene Spafford: Using encryption on the Internet is the equivalent of
arranging an armored car to deliver credit-card information from someone living
in a cardboard box to someone living on a park bench.
Der »klassische« Passwortschutz:
Wodurch ist der Rechner geschützt? |
Durch das Passwort! |
Wodurch ist das Passwort geschützt? |
Durch das Administrator-Passwort! |
Wodurch ist das Administrator-Passwort geschützt? |
Durch das Hardware-Passwort! |
Wodurch ist das Hardware-Passwort geschützt? |
Gar nicht! (Es kann durch Herausnehmen einer Batterie
gelöscht werden.) |
Vorlesung Datenschutz und Datensicherheit
Autor: Klaus Pommerening, 31. März 1999;
letzte Änderung: 10. Mai 2004.
E-Mail an Pommerening »AT« imbei.uni-mainz.de.