FMST-3

EDV

Unbefugte können sich Zugang zu Computern verschaffen und Daten kopieren, ohne eine Spur zu hinterlassen. Welche finanziellen Folgen hat der so verursachte Schaden durch Datenmissbrauch geht in die Milliarden - Tendenz steigend. Der Grund dafür liegt in der Tatsache, dass in vernetzten Umgebungen, wie sie heute überall angetroffen werden, jede angeschlossene Workstation, jeder Laptop-Akhner. jeder Zugangspunkt zum Netz, jeder dezentrale Computer oder jedes verteilte System eine Zugangsmöglichkeit für Unbefugte darstellt. Wenn man sich dann n das explosionsartige Wachstum des Internets und die im Entstehen begriffene Infoautobahn vor Augen hält, dann steigen die Risiken eines unbefugten Zugriffs aul Dateneinrichtungen exponentiell.

Unberechtigtes Eindringen in :ein EDV-System kann verheerende Folgen haben. In manchen Branchen kann ein derartiger Vorgang auch das unternehmerische Ende bedeuten. Das Ergreifen von geeigneten Massnahmen, um Daten vor Diebstahl, Manipulation oder Löschung zu schützen, ist nicht nur eine Notwendigkeit, sondern gehört auch zu den treuhänderischen Pflichten eines Unternehmens. Für einen erfahrenen Hacker oder einen entschlossenen Insider ist es kein grosses Problem, in den Besitz eines Passwortes zu kommen und sich darüber Zugang zu wertvollen Informationen zu verschaffen. Hält sich ein Unbefugter erst einmal in einem mutmasslich sicheren System unter der ''Maske" eines autorisierten Benutzers auf, verlieren alle Zugangsrechte und Einrichtungen zur Pfadverfolgung ihre Bedeutung. Sicherheitseinrichtungen, die nur einen einzigen Schutzmechanismus vorsehen, z.B. ein statisches Passwort, sind höchst unsicher. 12.4.1 Benutzeridentifikation

Es gibt drei Methoden zur Benutzeridentifizierung, von denen manche schon geraumer Zeit im Gebrauch sind, so zum Beispiel das 'geheime Passworte das nur der jeweiligen Person bekannt ist.

Man unterscheidet:

Ein dem Benutzer bekanntes Geheimnis (Passwort, PIN).

Ein Gegenstand im Besitz des Benutzers (Schlüssel, Karte, Ausweis).

Ein individuelles Merkmal des Benutzers (Fingerabdruck, Stirn Muster der Retina), biometrische Daten.

Zur verlässlichen Autorisierung ist der Einsatz von mindestens zwei dieser Methoden notwendig. Diese Methoden, die heute im EDV-Bereich gebräuchlich sind, sind die Basis für eine ganze Reihe von Möglichkeiten zur Benutzeridentifizierung und Autorisierung. Nachfolgend sind die verschiedenen Verfahren sowie ihre jeweiligen Vor-und Nachteile dargestellt.

Verfahren

Die gebräuchlichsten Verfahren zur Benutzeridentifikation sind heute

- Unabhängige Passwörter

- Rückrufsysteme (Dial-Back)

- Authorisierung durch Frage-Antwort-Systeme

- Software-Token

- Zeitabhängige Token

Wiederverwendbare Passwörter

Verwendet man das heute am weitesten verbreitete Schutzverfahren, den Einsatz von Passwörtern, so nimmt man folgende Nachteile in Kauf:

- Passwörter können manipuliert werden.

- sie werden in der Praxis nicht in regelmässigen Abständen geändert.

- sie können im Besitz von mehr als einem Benutzer sein.

- sie sind abhängig von verschiedenen sozialen Komponenten. -Se können von speziellen Programmen entschlüsselt werden. Zudem muss beachtet werden, dass der Umlauf und Gebrauch nur schwer kontrolliert und verfolgt werden kann.