Netzsicherheit - Grundlagen & Protokolle - Mobile & drahtlose Kommunikation - Schutz von Kommunikationsinfrastrukturen

1 Einleitung

Es ist eine mittlerweile wohlbekannte Tatsache, dass die digitale Revolution und die allgegenwärtige Vernetzung von Informationssystemen bei all ihren Vorteilen auch einige Risiken mit sich bringen. In diesem Buch sind eine bestimmte Kategorie von Risiken und insbesondere die Maßnahmen zu ihrer Bekämpfung von Interesse. Es die Kategorie der Risiken, die aus der Abhörbarkeit und Manipulierbarkeit der in Kommunikationsnetzen übertragenen Daten und der Verwundbarkeit der Kommunikationsinfrastruktur selbst erwachsen.

Schutz zu übertragender Daten

Die Schutzbedürftigkeit zu übertragender, aber auch zu speichernder Daten wurde von der Menschheit schon sehr früh erkannt, und so ist der Wunsch, Daten vor unberechtigtem Zugriff zu schützen, vermutlich so alt wie die Schrift selbst. Verlässliche, frühe Überlieferungen über entsprechende Schutzmaßnahmen berichten beispielsweise über eine von den Spartanern etwa 400 Jahre vor Christus eingesetzte Technik, Nachrichten auf ein Lederband zu schreiben, das um einen Stock eines bestimmten Durchmessers gewickelt war. Vor der Übermittlung der Nachricht wurde das Lederband von dem Stock entfernt, sodass ein potenzieller Angreifer, der nicht über einen Stock des gleichen Durchmessers verfügte (zum Beispiel weil er den Durchmesser oder auch diese Technik nicht kannte), die Nachricht nicht lesen konnte. In gewisser Weise wurde hierdurch eine erste »analoge« Verschlüsselung realisiert.

Erste Substitutionschiffren

Im vierten Jahrhundert vor Christus entwickelte der GriechePolybius eine Tafel für bilaterale Substitution, die eine Abbildung von Zeichen auf Paare von Symbolen sowie die entsprechende Rückabbildung definierte und somit ein erstes »digitales« Verschlüsselungsverfahren spezifizierte. Von den Römern ist bekannt, dass sie ihre taktische Kommunikation oft mit einfachen, sogenannten monoalphabetischen Substitutionsverfahren schützten, von denen das bekannteste wohl die »Cäsar-Chiffre« sein dürfte. Bei diesem nach seinem Erfinder Julius Cäsar benannten Verschlüsselungsverfahren wird jedes Zeichen des Alphabets auf das um drei Zeichen folgende Zeichen ersetzt, also etwa »A« durch »D«, »B« durch »E« und so weiter.

Anfänge der Kryptanalyse

Die Araber entwickelten als Erste ein Grundverständnis der beiden fundamentalen Prinzipien Substitution, das heißt der Zeichenersetzung, und Transposition, welches die Änderung der Reihenfolge der Zeichen eines Textes ist. Sie betrachteten bei der Bewertung von Verfahren auch die Analyse eines Verfahrens durch einen potenziellen Angreifer. So war ihnen bereits die Bedeutung relativer Buchstabenhäufigkeiten einer Sprache für die Analyse von Substitutionschiffren bekannt, da diese Rückschlüsse auf die Substitutionsregeln zulassen. Zu Beginn des fünfzehnten Jahrhunderts nach Christus enthält die arabische Enzyklopädie »Subh al-a’sha« bereits eine beachtliche Abhandlung über kryptografische Verfahren und ihre Analyse.

Schutz der Infrastruktur

Ohne an dieser Stelle die gesamte Entwicklung der Kryptologie zu einer wissenschaftlichen Disziplin nachzuzeichnen, sollte aus den genannten Entwicklungen klarwerden, dass der Schutz zu übertragender Daten seit je her eine besondere Beachtung erfahren hat. Im Zeitalter allgegenwärtiger Kommunikationsnetze erweist sich jedoch zunehmend auch eine zweite Kategorie von Risiken von immer größerer Dringlichkeit, die nicht direkt die zu übertragenden Daten, sondern die Kommunikationsinfrastruktur an sich betrifft. Mit der Entwicklung und dem Ausbau immer komplexerer Netze sowie ihrer zunehmenden Bedeutung – nicht nur für die wirtschaftliche, sondern auch für die soziale Entwicklung einer modernen Informationsgesellschaft – steigen auch die Anforderungen an die Sicherheit der Kommunikationsinfrastruktur vor absichtlichen Manipulationen. So ist für einen wirtschaftlichen Betrieb beispielsweise sicherzustellen, dass die von Kommunikationsnetzen bereitgestellten Dienste zur Verfügung stehen und korrekt funktionieren sowie dass erfolgte Dienstnutzungen auch korrekt und nachvollziehbar abgerechnet werden können.

1.1 Inhalt und Aufbau dieses Buches

In diesem Buch werden die beiden bisher skizzierten Aufgabengebiete der Netzsicherheit, die Sicherheit zu übertragender Daten sowie die Sicherheit der Kommunikationsinfrastruktur, gleichermaßen behandelt. Hierzu werden in den folgenden Abschnitten zunächst zentrale Begriffe und Konzepte eingeführt und ein erster Überblick über Maßnahmen der Informationssicherheit gegeben.

Teil 1 des Buches behandelt Grundlagen.

In den verbleibenden Kapiteln des ersten Teils werden darauf aufbauend die Grundlagen der Datensicherheitstechnik behandelt. Kapitel 2 führt in Grundbegriffe der Kryptografie ein. Kapitel 3 behandelt die Verwendung und die Funktionsweise symmetrischer Chiffrierverfahren. Das sich anschließende Kapitel 4 ist den asymmetrischen kryptografischen Algorithmen gewidmet. Kapitel 5 führt in kryptografische Prüfwerte zur Erkennung von Nachrichtenmanipulationen ein. Die Erzeugung sicherer, nicht vorhersehbarer Zufallszahlen ist Gegenstand von Kapitel 6. Die Algorithmen dieser vier Kapitel stellen gewissermaßen die Grund-primitive der Datensicherheitstechnik dar, auf denen die kryptografischen Schutzmechanismen der Netzsicherheit beruhen. Kapitel 7 behandelt kryptografische Protokolle. Hier werden insbesondere die für die Netzwerksicherheit zentralen Authentisierungs- und Schlüsselaustauschprotokolle eingeführt, welche in Kapitel 8 im Kontext von Gruppenkommunikationsszenarien vertieft werden. Diese vertiefte Diskussion kann in einem einführenden Kurs über das Thema auch weggelassen werden, ohne dass das Verständnis der weiteren Teile des Buches davon beeinflusst würde. Das den ersten Teil beschließende Kapitel 9 gibt eine Einführung in Prinzipien der Zugriffskontrolle.

Teil 2 führt in Architekturen und Protokolle der Netzsicherheit ein.

Der zweite Teil des Buches behandelt Architekturen und Protokolle der Netzsicherheit. Kapitel 10 führt zunächst in die allgemeine Fragestellung der Integration von Sicherheitsdiensten in Kommunikationsarchitekturen ein. Kapitel 11 erläutert Sicherheitsprotokolle der Datensicherungsschicht, Kapitel 12 behandelt die Sicherheitsarchitektur für das Internetprotokoll IPsec und Kapitel 13 beschreibt Sicherheitsprotokolle der Transportschicht.

Teil 3 ist der drahtlosen und mobilen Kommunikation gewidmet.

Im dritten Teil dieses Buches wird das Gebiet der sicheren drahtlosen beziehungsweise mobilen Kommunikation vorgestellt. Kapitel 14 grenzt die bei mobiler Kommunikation zusätzlich auftretenden Sicherheitsaspekte von denen der Festnetze ab und stellt eher konzeptionelle Ansätze zur Wahrung der Vertraulichkeit des aktuellen Aufenthaltsortes mobiler Geräte vor. Die verbleibenden Kapitel dieses Buchteils untersuchen konkrete Systembeispiele. Kapitel 15 behandelt die Sicherheitsfunktionen des Standards IEEE 802.11 für drahtlose lokale Netze einschließlich der Schwächen früher Versionen dieses Standards. Kapitel 16 führt in die Sicherheitsfunktionen der europäischen Standards für mobile Weitverkehrsnetze GSM, UMTS und LTE ein.

Teil 4 beschäftigt sich mit dem Schutz von Kommunikationsinfrastrukturen.

Während die vorhergehenden Teile des Buches sich hauptsächlich auf die Sicherheit von Kommunikationsvorgängen zwischen Endsystemen konzentrieren, geht der vierte und letzte Teil des Buches auf die Sicherung großer Netzwerke und der Kommunikationsinfrastrukur ein. Kapitel 17 beschreibt dazu zunächst das grundlegende Problem des Schutzes von Systemen in offenen Netzen und gibt eine kurze Übersicht über die systematische Bedrohungsanalyse. Darüber hinaus wird das Problem der Sicherung der Endsysteme als Voraussetzung eines sicheren Netzbetriebs behandelt. Das folgende Kapitel 18 befasst sich mit Sabotageangriffen, die Endsysteme und Kommunikationsinfrastruktur gleichermaßen betreffen. Kapitel 19 und Kapitel 20 beschäftigen sich mit der Sicherheit grundlegender Dienste einer Kommunikationsinfrastruktur: dem Routing und der Namensauflösung. Internet-Firewalls als wichtigstes Mittel zur Realisierung einer subnetzbezogenen Zugriffskontrolle werden in Kapitel 21 eingeführt. Da Angriffe nicht immer nur durch die vorgestellten proaktiven Schutzmaßnahmen verhindert werden können, ist oft eine zusätzliche Kontrolle durch Intrusion-Detection-Systeme beziehungsweise Intrusion-Prevention-Systeme sinnvoll. Deren Grundlagen und existierende Verfahren werden in Kapitel 22 vorgestellt. Das abschließende Kapitel 23 beschäftigt sich mit dem Management großer Sicherheitsinfrastrukturen.

Das Gebiet der Netzsicherheit ist von großer Dynamik geprägt.

An dieser Stelle sei dem Leser vor der weiteren Lektüre des Buches...