Inhaltsverzeichnis

 
1 Einleitung  2
1.1     Verletzlichkeit  2
1.2     Informationsgesellschaft  2
2 Spezifische Probleme informationsverarbeitender Systeme 2
2.1     Komplexität und Kopplung 2
2.2     Geschwindigkeit  3
2.3     Real World Environment 3
3 Fehlerquellen  4
3.1     Hardware  4
3.2     Software  4
3.3     Bedienungsfehler 5
3.4     Kumulation  5
3.5     Manipulation und Mißbrauch  6
4 Beispiele 7
4.1     Der KGB-Hack 7
4.1.1         Die Hacker 7
4.1.2         Die Gegner 7
4.1.3         Der KGB 8
4.1.4         Juristische Konsequenzen 8
4.1.5         Konsequenzen 8
4.2     Der Schwarze Montag 9
4.2.1         Analyse 9
4.2.2         Konsequenzen 11
4.2.3         Anmerkung 11
4.3     Der Internet Wurm  12
4.3.1         Der Autor 12
4.3.2         Technische Analyse 13
4.3.3         Analyse 14
4.3.4         Konsequenzen 15
5 Konsequenzen für die Informationsgesellschaft 16
5.1     Weitere gefährdete Bereiche 16
5.2     Risikominimierung 16
Anhang 17
    Glossar  17
    Literaturhinweise  18
 

1    Einleitung

Durch den steigenden Einsatz von informationsverarbeitenden Systemen begibt sich unsere Gesellschaft auch in eine steigende Abhängigkeit. Schon heute hängen z.B. die Energieversorgung, das Zahlungssystem, die Massenmedien und große Teile der medizinischen Versorgung vom Funktioieren dieser Systeme ab. Bei genauerer Betrachtung stellen wir fest, daß bei dieser Durchdringung die bisherigen Leistungsträger verdrängt und schließlich ersetzt werden, was im Falle eines Fehlers den Rückgriff auf diese unmöglich macht. Die Unübersichtlichkeit komplexer Techniksysteme erhöht ihre Fehleranfälligkeit, die steigende Anzahl solcher Systeme erzeugt neue Fehlermöglichkeiten. Ziel des Technikeinsatzes sollte aber sein, die Verletzlichkeit der Gesellschaft zu verringern.
Im Folgenden werde ich eine Analyse der möglichen Verletzlichkeiten und Gefahrenpotentiale vornehmen und die resultierenden Folgen abschätzen. Soweit mir das möglich ist werde ich auf geeignete Gegenmaßnahmen hinweisen.
Abschließend möchte ich an Hand einiger exemplarischer Beispiele von Verletzlichkeit die Problematik verdeutlichen und die jwlg. Konsequenzen analysieren.
 

1.1    Verletzlichkeit

Dieser Begriff beschreibt die Anfälligkeit einer Gesellschaft für das Fehlverhalten der von ihr benutzten Technik. Dabei wird davon ausgegangen, daß jede Technik eine unvermeidliche Fehleranfälligkeit besitzt. [Beck86]
Ich werde hier auch auf die Auswirkungen von Fehlverhalten auf die Technik selbst eingehen.
 

1.2    Informationsgesellschaft

Unter der Informationsgesellschaft versteht man eine Gesellschaft, die quantitativ und qualitativ entscheidende Funktionen auf informationsverarbeitende Systeme (iSys) übertragen hat (vgl. [Ross95]). Zu diesen Funktionen gehören Planung, Steuerung, Überwachung und Koordination in Produktion und Wirtschaft genauso wie auch die Übernahme sozialer Funktionen.
Im Unterschied zur Industriegesellschaft wird in einer Informationsgesellschaft auch die überwachenden Funktionen vom Menschen auf die verwendete Technik übertragen.
 
 

2    Spezifische Probleme informationsverarbeitender Systeme

2.1    Komplexität und Kopplung

Ausgehend davon, daß jedes technische System mit einer gewissen Wahrscheinlichkeit fehlerhaft ist, steigt diese Wahrscheinlichkeit mit der zunehmenden Komplexität.
Die Übertragung der Überwachungsfunktion vom Menschen auf andere iSys, d.h. ein System beeinflusst (steuert, reguliert) andere Systeme, (die wiederum andere Systeme beeinflussen usw.) vergrößert die Komplexität und damit die Fehleranfälligkeit, wobei diese Kopplung nicht unbedingt hierarchisch strukturiert sein muß; im Zusammenhang mit der steigenden Komplexität der einzelnen Komponenten können auch verdeckte und unbeabsichtigte wechselseitige Beziehungen auftreten (siehe 4.2 Der Schwarze Montag). In solchen eng gekoppelten Systemen steigt die Fehlerwahrscheinlichkeit nicht mehr linear sondern in der Größenordnung der Kopplung an, da das fehlerhafte System mit den gekoppelten Systemen interagiert und sich der Fehler fortsetzt.
Einen Ausweg aus diesem Dilemma ist die Einrichtung von dezentralen, unabhängig voneinander agierenden Überwachungssystemen. Diese können mehrere Funktionen vereinen: (siehe Beispiel in 4.1.2)
 

2.2    Geschwindigkeit

Einerseits der Grund für die steigende Durchdringung der Gesellschaft mit iSys, stellt der vermeintliche Vorteil der hohen Verarbeitungsgeschwindigkeit im Fehlerfall eine enorme Gefahr dar, da eine effektive Überwachung durch Menschen nicht mehr möglich ist und diese somit ebenfalls auf iSys übertragen werden müssen. Diese Kopplung erhöht jedoch unweigerlich die Komplexität des Systems (s.o.), und somit sowohl die Fehleranfälligkeit als auch die Verletzlichkeit.
Insbesondere bei Echtzeitsystemen stellt die Geschwindigkeit ein hohes Gefahrenpotential dar, da in kurzer Zeit ohne jede Kontrollmöglichkeit irreversibler Schaden entstehen kann.
 

2.3    Real World Environment

Dieses Problem tritt bei komplexen Systemen auf, die mit der realen Außenwelt interagieren und ihren Input nicht auf einen vordefinierten Bereich beschränken (können). Solche Systeme können mit den herkömmlichen Methoden der Informatik nicht verifiziert werden, da die Zahl der Zustände der realen Welt nicht vollständig im Rechner repräsentiert werden kann.
Der Korrektheitsbeweis der einzelnen Komponenten solcher Systeme sagt deshalb nichts über die Korrektheit des gesamten Systems aus, es kann trotzdem Fehlentscheidungen treffen.  Eine drastische Folge dieses Problems sind z.B. immer wieder auftretende Flugzeugabstürze in der Nähe von starken Radiosendern oder ähnlichen Anlagen. Obwohl man versucht deren Auswirkungen auf die Bordelektronik in Simulationen ausreichend zu analysieren, treten derartige Unfälle immer wieder auf und werden in der Praxis durch Meidung derartiger Anlagen umgangen. [Ladk97]
 
 

3    Fehlerquellen und resultierende Schadensarten

 

3.1    Hardware

Hardwareausfälle sind wegen ihrer unmittelbaren Wirkung die am einfachsten erkennbaren Schadensarten. Eine größere Gefahr stellen Hardwarefehler dar, da sie u.U. über einen langen Zeitraum hinweg unentdeckt bleiben (z.B. der sog. "Pentium-Fehler") oder weil die Daten z. T. in Echtzeit verarbeitet werden und damit unmittelbare Wirkung zeigen (ein Beispiel hierfür sind die verschiedenen Sensoren, die einen Flugcomputer mit den notwendigen Daten versorgen).
Eine wirksame Schutzmaßname findet man in redundanten (Notfall-)Systemen (wie sie z.B. in Kernkraftwerken, Krankenhäusern und Militärbasen vorhanden sind). Diese sollten auch unter realen Notfallbedingungen getestet werden, da ein nicht funktionierendes Notfallsystem wahrscheinlich schlimmer ist als keines:  

3.2    Software

Die Software stellt die wohl größte Fehlerquelle dar: Zur Vermeidung dieser Fehlerquellen verweise ich an dieser Stelle auf die verfügbare Literatur bzw. Lehrangebote aus dem Bereich des Software-Engineerings.
Abgesehen von diesen Fehlerquellen ist die angestrebte Emulation des menschlichen Verhaltens in Krisensituationen ein bis heute unerreichtes Ziel, so kann z.B. jeder erfahrene Pilot ein Flugzeug auch ohne funktionierenden Geschwindigkeitsmesser manövrieren, was einen Autopiloten mangels Erfahrung und einer davon abgeleiteten heuristischen Vorgehensweise versagen läßt.
 

3.3    Bedienungsfehler

Bedienungsfehler lassen sich niemals ganz ausschließen, das Erkennen und der sinnvolle Umgang mit ihnen ist dagegen eine ausgesprochen komplizierte Aufgabe. Zwar können manche Eingabefehler durch Plausibilitäts- und Konsistenzprüfung noch erkannt werden, eine allgemein gültige Regel für die Fehlererkennung und -behandlung kann man jedoch nicht aufstellen.
 

3.4    Kumulation

Der massive gleichzeitige Zugriff auf ein informationsverarbeitendes System kann dieses überlasten und zu Fehlfunktionen führen, die von überlangen Antwortzeiten bis zum Totalausfall reichen. Die richtige Dimensionierung der Belastbarkeit eines iSys ist aus folgenden Gründen problematisch:

 3.5    Manipulation und Mißbrauch

Die Möglichkeit des Mißbrauchs wird in der Öffentlichkeit erst seit einigen spektakulären Fällen von unberechtigtem Eindringen in Computer durch Hacker Ende der 90er Jahre diskutiert (vgl. [Stol89], [Hafn91], 4.1 Der KGB-Hack). Inzwischen ist die dadurch drohende Gefahr alleine wegen der steigenden Menge sensitiver Daten enorm gestiegen. Die Breite möglicher Täter reicht von "harmlosen" Feierabendhackern über Wirtschaftsspionage bis zu geheimdienstlicher Tätigkeit.
Die Vorteile des elektronischen Mißbrauchs für den Angreifer sind nicht von der Hand zu weisen: Schon die potentielle Gefahr der Manipulation stellt für die Informationsgesellschaft ein Problem dar: wie kann z.B. die Verlagerung finanzieller Transaktionen auf iSys stattfinden, solange durch Manipulation das Vortäuschen einer anderen Identität nicht ausgeschlossen werden kann? Eine solche Bedrohung führt unweigerlich zu einem Vertrauensverlust gegenüber dem iSys, was im Zusammenhang mit sensitiven Daten (z.B. bei Banken) verheerende Folgen haben kann.
Ein spezielles Risiko stellen in diesem Zusammenhang sog. Insider dar, also den mit diesen Sicherheitsfragen ver- oder betraute Mitarbeiter von z.B. Banken, Geheimdiensten etc. Die Aufklärungsrate wird in diesen Fällen auf ca. 10% geschätzt; da die betroffenen Institutionen dem aus einer Anklage folgenden öffentlichen Gerichtsverhandlung entstehenden Vertrauensverlust scheuen, werden solche Fälle (zumindest im zivilen Bereich) fast ausschließlich intern geregelt. Die Gefahr wird z.T. durch die Vergabe von sicherheitsrelevanten Aufträgen an Drittfirmen potenziert. [Brun88]

Bestimmende Größen für das Gefahrenpotential durch Manipulation und Mißbrauch sind:

Die NCSC hat im sog. "Orange Book" [DoDO85] eine Klassifizierung der Schutzmechanismen gegen Manipulation und Mißbrauch informationsverarbeitender Systeme veröffentlicht. Bei der Entwicklung von Schutzmechanismen gegen Mißbrauch geht man dort folgendermaßen vor:
  1. Man läßt 2 oder mehr Teams unabhängig voneinander dieselben Schutzvorrichtungen entwickeln.
  2. Getestet werden jeweils die Ergebnisse einer anderen Arbeitsgruppe.
  3. Neu zusammengestellte Teams bekommen die Ergebnisse mitgeteilt und beginnen wieder von Vorne.
Dieses Verfahren dürfte aber in vielen Bereichen allein aus Kostengründen nicht in Frage kommen und ist auch nicht immer erfolgreich, z.B. wies die von der NCSC getestete Version 4.5 des Beriebssystems VMS eklatante Sicherheitmängel auf. [Stol89]
 
 

4    Beispiele

4.1    Der KGB-Hack

Der Fall von drei deutschen Hackern, die vom Sommer 1986 an in verschiedene Rechner eindrangen und die dort geraubten Informationen an den KGB verkauften, ist ausführlich in [Stol89] und [Hafn91] geschildert. Ich werde mich deshalb in dieser verkürzten Wiedergabe auf einige interessante Aspekte beschränken.
 

4.1.1    Die Hacker

Markus Hess und Karl Koch ("Hagbard"), die hauptbeteiligten Hacker, waren schon seit 1984 unabhängig voneinander in Rechner der NASA und verschiedener Softwarefirmen (z.B. Digital) eingedrungen. Im Sommer 1986 beschlossen die damals gerade 20jährigen die dadurch gewonnenen Informationen an den KGB zu verkaufen. Dieser Entschluß entsprang weniger einer entsprechenden Gesinnung als vielmehr einer Mischung aus Abenteuerlust, finanzieller Not und der Rechtfertigung, eine "ausgleichende Rolle" im Rüstungswettlauf der beiden großen Militärbündnisse zu spielen. Die Kontaktaufnahme erfolgte in einer von der StaSi zur Verfügung gestellten konspirativen Wohnung in Ost-Berlin, im Laufe des folgenden Jahres summierten sich die Zahlungen des KGB auf ca. DM 1,5 Millionen.
 

4.1.2    Die Gegner

Clifford Stoll, Astronom am Lawrence Berkeley Laboratory, entdeckte im Herbst 1986 einen Hacker in dem ihm anvertrauten Rechnersystem aufgrund einer Differenz von 75 Cent in den Protokollen zweier unabhängiger Abrechnungssysteme. Nachdem er festellte, daß der Eindringling Systemverwalterprivilegien erlangt hatte, entschied er sich, den Hacker weiter zu Beobachten, um einerseits seine Identität offenzulegen, indem er seinen Weg im Internet zurückverfolgte, und andererseits, seine Ziele und Interessen zu identifizieren und den Schaden durch Warnungen an andere angegriffene Rechenzentren zu minimieren. Seine Beobachtungen dokumentierte er mit einem parallel zum Internetanschluß geschalteten Drucker.
Er verfolgte den Hacker zurück bis zu Mitre, einer US-Rüstungsfirma mit dem Spezialgebiet Computersicherheit. Zu diesem Zeitpunkt alamierte er den FBI, die CIA, NSA und das DoD. Die Reaktionen der Behörden reichten zu diesem Zeitpunkt von vollkommenen Desinteresse (FBI) über Unzuständigkeitserklärungen (DoD, CIA) bis zur wohlwollenden Kenntnissnahme (NSA). Unterstützung wurde in keinem Fall gewährt. Dies änderte sich (zumindest bzgl. der NSA) nachdem der Hacker in über 30 Militärrechner eindrang und dort tlw. Systemprivilegien erlangte.
Mit Hilfe von fingierten Informationen über ein fiktives SDInet gelang es Stoll und den Behörden schließlich, die Hacker bis zu ihrem Telefonanschluß in Hannover zurückzuverfolgen.
 

4.1.3    Der KGB

Die Lieferungen der deutschen Hacker umfassten u.a. den kompletten Sourcecode von VMS, BSD und Programme zum Chipdesign. Das Interesse des KGB galt aber hauptsächlich streng geheimen Informationen wie dem damals gerade initiierten SDI-Projekt, was ein Indikator für die vollkommene Unkenntnis der Materie von Seiten des KGB ist: auf den an das Internet (in diesem Fall: Milnet) angeschlossenen Rechnern durfen keine Informationen mit Zugangsbeschränkungen gespeichert werden; für Informationen, die mit der Sicherheitsstufe "vertraulich" oder höher klassifiziert wurden, waren (und sind) ausschließlich isolierte oder über eigene (abhörsichere) Leitungen miteinander vernetzte Rechner zuständig.
Das Potential der Hacker wurde wahrscheinlich deshalb nicht voll ausgeschöpft, weil man den jungen Männern nicht traute und befürchtete, einer Finte westlicher Geheimdienste aufzusitzen.
 

4.1.4    Juristische Konsequenzen

Auf Grund der Klage der von den amerikanischen Behörden alamierten Deutschen Bundespost fand am 23. Juni 1987 eine Hausdurchsuchung bei Markus Hess statt. Die dort gefundenen ca. 250 Disketten identifizierten ihn zwar als den LBL-Hacker, da er aber zu diesem Zeitpunkt nicht anwesend und damit nicht eingeloggt war endete der Prozeß gegen Hess mit einem Freispruch; die inzwischen auf mehrere Tausend Seiten angewachsenen Druckerprotokolle von Clifford Stoll wurden als Beweismittel nicht zugelassen, da ihre Echtheit nicht zu beweisen war.
 

4.1.5    Konsequenzen

Das Beispiel von Markus Hess zeigt neben den juristischen Problemen bei der Verfolgung von Hackern (bei einer Auslieferung an die USA hätte Markus Hess mit einer Anklage wegen Spionage und einem Freiheitsentzug von mindestens 15 Jahren rechnen müssen) auch die mangelnde Sensibilität der zuständigen Behörden. In der Rechtsprechung der USA begann man zwar sich mit dem Problem auseinanderzusetzen, die Zulässigkeit von Computerprotokollen als Beweismittel bleibt jedoch bis heute umstritten.
Bei der Verhandlung in Deutschland zerpflückte die Verteidigung einen Anklagepunkt nach dem anderen: für viele Taten gab es keinen rechtlichen Tatbestand, die tlw. vollkommen unzureichenden Sicherheitvorkehrungen der Rechner, in denen Hess nach geeignetem Material gesucht hatte, erleichterten es den Anwälten den zuständigen Administratoren eine Mitschuld anzuhängen (im Sinne der Vernachlässigung der Aufsichtspflicht).
 
 
 

4.2    Der Schwarze Montag

Am Mittwoch, den 14. Oktober 1987 ließ die Nachricht des unerwartet hohen Handelsdefizites der USA von US$ 10 Milliarden den Dow Jones Index an der Wallstreet von 2508 um 95 Punkte auf 2413 fallen. Die Abwärtstendenz setzte sich am Donnerstag fort: der Dow Jones fiehl um 58 Punkte auf 2355, am Freitag weitere 108 Punkte auf 2247.
Als die Börse nach der Wochenendpause am Montag wieder öffnete setzte sofort ein rasanter Kursverfall fast aller Notierungen ein. Um 11 Uhr hatte der Dow Jones bereits 206 Punkte verloren, zu Börsenschluß sollten es 508 Punkte sein - der bis heute größte an einem Tag zu verzeichnende Kursverfall von fast 23 Prozent (zum Vergleich: der Kursverfall am sogenannten "Schwarzen Freitag" im Oktober 1929 betrug "nur" 7.5%; siehe auch 4.2.2). Der allgemeine Kursverfall blieb auch nicht auf die Wall Street beschränkt, sondern setzte sich (mit der Tageszeit) in London, Frankfurt und Tokyo fort.
Auf der Suche nach Gründen für diesen in seiner Intensität nicht erklärbaren Kursverfall (die US-Wirtschaft befand sich in einem Aufwärtstrend, die Inflation war auf niedrigem Niveau; der Börsenstand wurde allgemein als "leicht überbewertet" eingeschätzt) tauchten bald die ersten Gerüchte auf, in denen Börsenprogrammen zumindest ein Teil der Schuld zugesprochen wurden.
[Risk87][Brun88]
 

4.2.1    Analyse

Der Aktienhandel an den Börsen der Welt scheint ein ideales Einsatzgebiet für Expertensysteme zu sein: genau wie sein menschliches Vorbild trifft der künstliche Broker seine Entscheidungen mit Hilfe mathematisch eindeutig beschreibbarer Regeln auf der Basis der Wirtschaftsdaten und der derzeitigen Handelslage. Sowohl die Eingaben als auch die Ausgaben lassen sich erfolgreich und ohne Informationsverlust auf Zahlen reduzieren, Berührungsängste mit den künstlichen Kollegen gab es keine: Der Broker bestimmt durch Eingabe einiger Grenzwerte (z.B. "Abstoßen der Aktie X bei einem Kursverlust > Y%") die Vorgehensweise zur Verwaltung der ihm anvertrauten Aktiendepots. Die Programme beziehen ihre Informationen aus dem börseninternen Informationsnetz (in Deutschland z.B. "KISS"; diese Netze sind untereinander durch das SWIFT-Netz verbunden), melden dort ihre Angebote an und lassen ihre getätigten Transaktionen dort registrieren (kurz: sie kommunizieren auf ihre reduzierte Art miteinander).
Schon die Eingabe der Grenzwerte wird eine gewisse Häufung besessen haben, bedenkt man erstens, daß die menschlichen Broker alle eine sehr ähnliche Ausbildung durchlaufen haben und somit mit einer natürlichen statistischen Verteilung zu gleichen oder ähnlichen Entscheidungen neigen, und zweitens, daß Menschen bei der Eingabe von Zahlen zum Runden tendieren und dadurch auch weiter gestreute Grenzwerte zu lokalen Peaks kumulierten.
Als die New Yorker Börse am Montag wieder öffnete, hatten viele der  Börsenprogramme ihre Entscheidung schon getroffen: Verkaufe! Der Handel wurde mit Aktienpaketen überschwemmt, deren Notierungen dadurch noch stärker fiehlen. Einzelne Notierungen, vom allgemeinen Abwärtstrend bisher unbehelligt, wurden plötzlich von allen abgestoßen, um die Kapitaldecke wieder aufzufrischen (Procter & Gamble verlor in 15 Minuten 12%).
Bei der Spezifikation der Börseninformationssysteme ist man fälschlicherweise davon ausgegangen, daß mehr Information auch gleichzeitig mehr Wissen bedeutet. Die Geschwindigkeit, mit der die Transaktionen getätigt wurden, überstieg jedoch bald das menschliche Fassungsvermögen (die Software verfügte nur über ungenügende Filterfunktionen, über die Monitore ergoß sich eine Informationslawine, in der die entscheidungsrelevanten Daten untergingen). Da das Einstellen aller Transaktionen einen nicht abschätzbaren Verlust bedeutet hätte und somit nicht in Frage kam, überließen viele Broker den Aktienhandel gänzlich den Computern. Diese tätigten untereinander bis zum Börsenschluß die Rekordzahl von 608 Millionen Transaktionen. [Juba96]
Am Dienstag hatten die meisten Broker nach einer eingehenden Analyse des vergangenen Börsentages ihre künstlichen Helfer nach gegenseitiger Absprache deaktiviert. Als sie am frühen Nachmittag die Computer für 2 Stunden wieder am Handel beteiligten, begannen die Kurse abermals zu fallen.

Bei diesem Beispiel findet man gleich mehrere Merkmale der Verletzlichkeit von informationsverarbeitenden Systemen:

 

4.2.2    Konsequenzen

Die an einer Börse herrschenden Bedingungen und Gesetzmäßigkeiten verhindern eine einfachen Lösung des Problems. Da jeder beteiligte Broker das Ziel der persönlichen Gewinnmaximierung verfolgt ist z.B.die Streuung der Grenzwerte durch Randomisierung nicht akzeptabel. Zu den bis heute vorgenommenen Verbesserungen bei Echtzeitbörsenprogrammen kann ich an dieser Stelle keine Aussage machen, ich gehe jedoch davon aus, daß mindestens den gleichen Fortschritt wie bei den vermehrt angebotenen Expertensystemen für Privatkunden stattgefunden hat. Hier haben sich besonders die Analyseverfahren verbessert und reichen heute von den verschiedenen Interpolationsalgorithmen bis zu Simulatoren Neuronaler Netze. [Birk97]

Die Vorkommnissen vom 19. Oktober 1987 kommentierte J. Phelan, der damalige Präsident der New Yorker Börse, in einer offiziellen Erklärung wie folgt:

 

4.2.3    Anmerkung

Der Zusammenhang zwischen dem Börsenkrach von 1987 und der Verwendung von Börsenprogrammen war stets ein Objekt heftiger Diskussionen. Von offiziellen Vertretern der Börsen und den Maklervereinigungen wurde den Börsenprogrammen eine höchstens verstärkende, nicht jedoch auslösende Rolle an den Ereignissen vom Oktober 1987 zugesprochen. Diese "verstärkende Rolle" ist außerhalb der offiziellen Kreise jedoch nahezu unumstritten. Indikatoren für die These einer von Börsenprogrammen zum Crash aufgebauschten regulativen Schwankung der Kursnotierungen finden sich in den Wirtschaftsdaten und im Vergleich zum Börsenkrach von 1929:
Im Zuge der Weltwirtschaftskrise befand sich auch die Wirtschaft der USA 1929 in einer allgemeinen Rezessionsphase mit steigender Inflationsrate und hoher Arbeitslosigkeit. Der Welthandel war aufgrund protektionistischer Maßnahmen praktisch zum Erliegen gekommen, ebenso der Binnenmarkt. An der Börse versuchten viele Firmen ihre Verluste durch Spekulation wett zu machen, wobei damals beim Ankauf der Wertpapiere nur 5% des aktuellen Kurses sofort gezahlt werden mußten. Es bildete sich ein Kartenhaus, bei dem die Verkäufer nicht ausgezahlt wurden (da die Käufer nicht liquide oder schon von anderen übernommen worden waren) und ihrerseits mit dem gleichen Spiel begannen.
Der unweigerliche Zusammenbruch dieser wilden Spekulation führte zu einem insgesamt wesentlich stärkeren Kursverfall als 1987: am 3. September 1929 stand der Dow Jones noch bei 381, den Tiefststand erreichte er Ende Oktober 1929 mit nur 41 Punkten. Der ursprüngliche Wert vor dem Crash wurde erst 1954 wieder erreicht.
Im Gegensatz dazu befand sich die Wirtschaft 1987 gerade im Übergang von einer Rezessions- in eine Aufschwungsphase, einer wilden Spekulation hatte man durch Erhöhung des sofort zu zahlenden Ankaufsanteils auf 50% schon lange einen Riegel vorgeschoben. Der Schwarze Montag blieb zwar als Tag des historischen Rekordverlustes in unrühmlicher Erinnerung, aber schon ein  halbes Jahr später war der alte Stand wieder überschritten.
Dieser Argumentation entgegen spricht die steigende Tendenz der Aktienmärkte, sich vollständig losgelöst oder sogar konträr zur Wirtschaftsentwicklung der jwlg. Länder zu verhalten. Ein vielleicht vorläufiger Höhepunkt dieser Tendenz ist eine während einer Pressekonferenz getätigte Aussage eines Wirtschaftsexperten der Bush-Administration, der den Paradigmenwechsel des Aktienmarktes mit den Worten  "The market is no longer a place, but an electronic network" [PaEn89] auf den Punkt brachte.
 
 

4.3    Der Internet Wurm

Am 2. November 1988 um 20:30 Uhr Ortszeit startete ein Doktorand namens Robert T. Morris ein selbstgeschriebenes Programm auf einem Rechner des Artificial Intelligence Lab des MIT. Als er eine Stunde später vom Abendessen zurückkam und sich wieder einloggen wollte, reagierte der Computer nicht. Keiner der Computer des AIL reagierte noch auf Eingaben. Das gleiche Phänomen stellte man bald in den Rechenzentren von Berkeley fest, dann auf einem Forschungsrechner der NASA, einem Rechenzentrum in San Diego: die Rechner wurden immer langsamer und stürzten schließlich ab. Es folgten Stanford, Princeton, Los Alamos und viele andere der über das Internet miteinander verbundenen Rechenzentren.
An vielen Orten der Vereinigten Staaten versuchten von besorgten Telefonanrufen aus dem Schlaf gerissene Systemverwalter die Ursache herauszufinden. Schon bald wurde klar, daß es sich um ein Programm handelte, das sich über das Internet unter Ausnutzung einiger Sicherheitslücken Zugang zu den Rechnern verschaffte und dort eine Kopie von sich erstellte, die wierderum dasselbe tat. Betroffen waren nur VAX- und Sun-Rechner, die unter Berkeley-Unix (BSD) liefen. Unklar war zu diesem Zeitpunkt, ob das Programm noch andere Modifikationen an den Dateien der betroffenen Rechnern vornahm, weshalb man bald (fälschlicherweise) vom "Internet-Virus" sprach.
 

4.3.1    Der Autor

Robert Tappan Morris hatte erst im Frühjahr sein Informatikstudium in Harvard erfolgreich (nach zeitweiliger Exmatrikulation) beendet und die Doktorandenstelle in Cornell im Sommer 1988 angenommen. Unter seinen Kommilitonen galt er als vielseitig interessierter aber auch sehr introvertierter Student, bei den Mitarbeitern von Aiken (dem Rechenzentrum für Angewandte Naturwissenschaften in Harvard) als Computer-Guru. Seine ersten Programme schrieb er als 13-jähriger am Arbeitsplatz seines Vaters Bob Morris (Robert Morris sen.), neben Ken Thompson und Dennis Ritchie einer der führenden Köpfe bei der Entwicklung von Unix (Bob Morris hat u.a. das Paßwortverschlüsselungssystem für Unix entwickelt).
Sein detailliertes Wissen über Unix rührt hauptsächlich daher, daß er sich neben der Lektüre der damals ca. 2000 Seiten umfassenden Unix-Manuals den Sourcecode vornahm und mit seinem Vater oft über spezifische Probleme diskutierte. In der amerikanischen Öffentlichkeit sorgte die pikante Tatsache, daß Bob Morris seit 1987 wissenschaftlicher Leiter der NCSC (National Computer Security Center) war und Robert dort auf Einladung seines Vaters Vorträge über Sicherheitsaspekte von Unix hielt, für heftige Diskussion und Kritik an der Person Bob Morris und der NSA. [Hafn91]
Als Bob Morris nach dem Bekanntwerden des Ursprungs des Internet-Wurms gefragt wurde, ob er seinen Sohn in irgendeiner Weise geholfen oder gar angeregt hätte, antwortete er: "So was ist nicht unbedingt eine Empfehlung für eine Karriere bei der NSA." [Stol89]
 

4.3.2    Technische Analyse

Die ca. 2000 Zeilen C-Code des Internet-Wurms wurden inzwischen ausführlich dokumentiert und analysiert. Ich werde hier nur die grundsätzliche Funktionsweise und Auswirkungen schildern. Detaillierte Informationen finden sich u.a. in [Farr91], [ftp-ifi], [www-sie].

Die Vorgehensweise des Wurmes beim Eindringen in andere Rechner gliederte sich in zwei Abschnitte: Zuerst wurde durch eine der Sicherheitlücken (s.u.) ein kleines Programm (der Wurm-"Kopf") an den Zielrechner übermittelt und gestartet, und dieses forderte wiederum vom angreifenden Rechner den Wurm-"Rumpf" an und startete diesen.

Der Internet-Wurm benutzte drei verschiedene Sicherheitslücken der BSD um über das Internet auf einen Computer zu gelangen:
 

  1. sendmail

    2. Dieses Programm ist unter BSD (und den meisten verwandten Betriebssystemen) für den elektronischen Briefverkehr zuständig. Durch eine bei der Entwicklung des Programms eingebaute Testoption ließ sich auf einem fremden Rechner ein Programm starten. Morris erkannte und nutzte dies, um sein Programm durch Senden einer E-Mail zu verbreiten.
    Sendmail ist wegen seiner Größe und aufgrund der Tatsache, daß es Systemverwalterprivilegien benötigt immer wieder von Sicherheitsexperten bemängelt worden: "Sendmail is a security nightmare." [Ches94]
     
  2. finger

    3. Beim Lesen des BSD Source fiel Morris eine weitere Sicherheitslücke auf: Der 60 Zeilen umfassende C-Code des Finger-Services benutzte die C-Funktion gets(), um eine Zeichenkette einzulesen. Diese Funktion stellt dazu einen statischen Puffer von 512 Byte Länge bereit. Durch Senden einer 536 Byte langen Zeichenkette überschrieb der Wurm den nachfolgenden Returnstack von Finger und ließ ihn eine Shell starten, die wiederum das Rumpfprogramm anforderte.
     
  3. remote access

    4. Zuletzt probierte der Wurm noch einige Permutationen des Usernamen sowie eine Liste von häufig benutzten Paßwörtern, die Morris mit Hilfe eines Brute-Force Rateprogrammes zusammengestellt hatte, als Paßwort für den "remote login" Service. Dies war außerordentlich erfolgreich, obwohl Morris versäumt hatte, nachfolgenden Wurmgenerationen bereits geknackte Username/Paßwortkombinationen zu vererben.
    Ein Seiteneffekt dieser Vorgehensweise war, daß die Auslastung sowohl der angreifenden als auch der angegriffenen Rechner stark anstieg.

    Durch sendmail oder finger in ein System eingedrungene Würmer besaßen Systemverwalterprivilegien.

Robert T. Morris beteuerte später, daß der Internet-Wurm nicht als bösartiger Angriff, sondern als Experiment gedacht war. Eigentlich sollte sich der Wurm nicht unkontrolliert vermehren, sondern pro Rechner auf eine Instanz beschränken. Dies sollte im Programm durch eine Abfrage sichergestellt werden, bei der jeder Wurm versuchte herauszufinden, ob er auf dem jwlg. Rechner schon vorhanden war und sich gegebenenfalls beendete.
Aber um das "Aussterben" (etwa durch einen aufmerksamen Systemverwalter) zu verhindern, verzichtete der Wurm bei jeder 7. Reproduktion auf diese Abfrage, der Wurm wurde "unsterblich".
Tragischerweise unterliefen Morris bei der Implementierung dieses Verhaltens 3 entscheidende Fehler:
  1. Der Wert 7 war viel zu niedrig gewählt, es hätte sich mindestens um einen Wert in der Größenordnung von mehreren Tausend handeln müssen.
  2. Durch einen Programmierfehler wurde auch dieser niedrige Wert 7 niemals beachtet, der Wurm reproduzierte sich immer.
  3. Die Antwortzeit für die anderen Würmer war für zwei Würmer pro System zwar ausreichend lang, nicht aber für Hunderte Würmer, die das jwlg. System bis an die Grenze seiner Rechenkapazität auslasteten.
 

4.3.4    Analyse

Der Wurm breitete sich in den USA und Kanada auf ca. 6000 Rechnern der verschiedenen Institutionen (Univeritäten, Militär, NASA, Firmen etc.) aus, wobei seine Beschränkung auf BSD eine Ausbreitung nach Europa verhinderte (obwohl das Paßwortraten auch auf anderen Unix-Distributionen funktioniert hätte).

Morris hatte Vorkehrungen getroffen seinen Wurm zu schützen und so sein "Überleben" zu sichern:

Ein weiteres Problem bei der Wurm-Abwehr war sein "Vermehrungsdrang": kaum hatte ein Systemverwalter alle verdächtigen Prozesse beendet (oder seinen Rechner neu gestartet), schon drangen die Würmer wieder in das System ein, vermehrten sich und suchten nach weiteren Opfern, wobei sie den Rechner unerträglich verlangsamten. Es bildeten sich 3 Kategorien der Abwehr: Der Internet-Wurm zeigt, wie schutzlos ein so komplexes und (insbesonders was die Sicherheitsanforderungen angeht) inhomogenes System wie das Internet einem mit Insiderwissen geführten Angriff gegenübersteht.
Verblüffend ist in diesem Beispiel die Anfälligkeit der betroffenen Rechner gegenüber der stattgefundenen Kumulation: allein die Vielzahl der parallel laufenden Würmer brachte viele Computer zu Absturz oder machte sie zumindest so langsam, daß ein sinnvolles Arbeiten unmöglich wurde. Dieses Verhalten findet man bis heute bei sog. modernen Betriebssystemen wie Windows NT, wo eine massive Auslastung der Systemresourcen den Zugriff auf die Kontrollmechanismen (den "Task-Manager") verhindern kann.
Als sicherheitsrelevante Schwachstelle stellte sich das im Internet (damals) verbreitete Prinzip der "trusted hosts" heraus. Bei diesem Verfahren können andere Rechner im Netz als "vertrauenswürdig" klassifiziert werden, was diesen u.a. remote access erlaubt. Dieses Verfahren kann auch über mehrere Rechner fortgesetzt werden, was (zusammen mit der Tendenz der Benutzer jeweils gleiche Paare von Benutzernamen und Paßwörtern zu verwenden) zur Konsequenz hatte, daß der am schlechtesten gesicherte Computer das Sicherheitsniveau seiner gesamten Domäne definierte.
 
 

4.3.5    Konsequenzen

Der von dem Internet-Wurm angerichtete Schaden läßt sich schwer bemessen. Er hat sich insgesamt auf über 6000 Rechnern ausgebreitet (was ca. 10% der damals an das Internet angeschlossenen Rechner entsprach), die dadurch für ca. 2 Tage ausfielen und deshalb für ihre eigentlichen Aufgaben nicht eingesetzt werden konnten. In der anschließenden Gerichtsverhandlung gegen Robert T. Morris wurde der entstandene Schaden zwischen US$ 0 und US$ 96.000.000 beziffert [Spaf89]. Der Schaden wäre ungleich höher ausgefallen, hätte der Wurm tatsächlich seine Systemverwalterprivilegien destruktiv eingesetzt. Auch die vergleichsweise sehr geringe kommerzielle Nutzung des Internets schränkte den entstandenen Schaden (etwa durch irreversiblen Datenverlust bei abgestürzten Rechnern) - wenn auch nicht absichtlich - ein.
Hatten bisherige vereinzelte Attacken durch Hacker bisher noch keine greifenden Auswirkungen auf die Sicherheitsstandards der meisten Systeme bzw. deren Administratoren, so wurde das Bewußtsein für diese Aspekte durch den massiven Ausfall wesentlich verstärkt. Die Entwicklung und Einrichtung sog. Firewalls, die verstärkte Diskussion von Sicherheitsaspekten und deren Standardisierung wurden durch den Internet-Wurm maßgeblich beeinflusst. In den USA war der Fall auch Anlaß für eine grundlegende Änderung der juristischen Handhabung, in der zum ersten Mal Tatbestände wie "Unerlaubtes Eindringen in einen Computer" u.ä. Einzug in das Strafgesetzbuch eines Landes fanden [Ches94].
 
 
 
 

5    Konsequenzen für die Informationsgesellschaft

5.1    Weitere gefährdete Bereiche

Wie in der Einleitung bereits erwähnt ist der Verbreitungsgrad informationsverarbeitender Systeme bereits hoch und nimmt stetig zu. Neben den bereits vollkommen auf das Funktionieren der verwendeten iSys angewiesenen Bereichen wie der Logistik, den internationalen Finanzmärkten etc. dringen iSys z.Zt. im Zuge der steigenden Vernetzung privater Haushalte verstärkt in den Privatbereich vor. Beispiele dafür sind: Ich möchte an dieser Stelle nochmals auf die Tendenz von iSys hinweisen, die traditionellen Leistungsträger zu verdrängen: dies bedeutet eine Risikoverlagerung vom Dienstanbieter zum Teilnehmer: z.B. ist für den Bereich des Homebanking absehbar, daß die Banken ihre Filialnetze verkleinern werden, sobald eine gewisse gesellschaftliche Akzeptanz erreicht ist. Die Kunden werden verstärkt auf das angebotene Homebanking angewiesen sein, wobei die Sicherung des Datentransfers zur Bank durch entsprechende kryptographische Maßnahmen gesichert ist. Die Sicherheit des heimischen PCs (der ja nicht nur für Homebanking an das Internet angeschlossen wird) obliegt dem Besitzer, für mögliche Manipulationen durch dort gestohlene Paßwörtern wird also (auch juristisch) der Teilnehmer zur Verantwortung gezogen.
 

5.2    Risikominimierung

Um die Verletzlichkeit der Gesellschaft zu verringern bieten sich folgende Vorgehensweisen an: Es handelt sich hier jedoch um rein theoretische Ansatzpunkte zur Risikoverminderung, die tatsächlich verwirklichten Vorsichtsmaßnahmen bleiben in der Regel den Leistungsträgern überlassen. Diese haben zwar das Interesse, die Verletzlichkeit zu verringern, um das Vertrauen der Gesellschaft nicht zu verlieren; dies wird aber aus Kostengründen nur mit begrenztem Aufwand betrieben. Es stellt sich deshalb die Frage nach staatlichen Auflagen und Kontrollbehörden, die die präventive Risikoverringerung informationsverarbeitender Systeme zur Aufgabe haben. Solche Kontrollinstitutionen haben sich bei besonders risikoreichen Techniken der Industriegesellschaft (z.B. Flugsicherung, Kernenergieanlage) durchaus bewährt.
 
 
 

Anhang:

 

Glossar:

 
BSD Berkeley System Distribution, in Berekley entwickelter Dialekt des Unix-Betriebssystems
DoD Department of Defense, US Verteidigungsministerium
NCSC National Computer Security Center, nichtgeheime Abteilung der NSA, die sich u.a. mit der Sicherheit von Computersystemen beschäftigt. Die NCSC erstellt Richtlinien zur Klassifizierung (z.B. das sog. "Orange Book" [DoDO85]) und vergibt entsprechende Zertifikate für militärische und zivile Computersysteme.
NSA National Security Agency, US Geheimdienst; http://www.nsa.gov:8080/
SWIFT Society of Worldwide International Financial Transactions
Viren Unter einem Virus versteht man ein Programm, das sich im Code eines anderen Programms versteckt. Wird dieses Wirtsprogramm und damit der im Wirt versteckte Code des Virus ausgeführt, versucht der Virus sich zu reproduzieren (andere Programme zu modifizieren und sich darin zu verstecken) und evtl. eine (wie auch immer geartete) andere Aufgabe durchzuführen. 
Viren sind aufgrund ihrer hardwarenahen Programmierung selten auf hardwareunabhängigen Plattformen anzutreffen.
Würmer Würmer verhalten sich wie Viren, benutzen jedoch keinen Wirt, sondern sind eigenständige Programme. Ihre Auswirkungen werden ebenfalls nur durch die Schutzmechanismen des befallenen Systems einerseits und die Absichten und Fähigkeiten ihres Programmierers andererseits beschränkt.
 
 
 
 
 

Literaturverzeichnis:

 
[Beck86] 
 		 Beck, Ulrich (Hrsg.): Risikogesellschaft. Auf den Weg in eine andere Moderne 
Suhrkamp Verlag, Frankfurt 1986; ISBN 3-518-11365-8
[Birk97]  Birkelback, Jörg: Selfmadebroker: Börsenprogramme - Daten, Techniken, Trends 
in: c't Report 2/97: Geld Online, Heise Verlag, Hannover 1997 
[Brun88]  Brunnstein, Klaus: Die Verletzlichkeit der "Informatisierten Gesellschaft" und die Verantwortung der Informatiker/innen, 
in Kitzing, Rudolf et al. (Hrsg.): Schöne neue Computerwelt, 
VAS Verlag für Ausbildung und Studium, Berlin 1988 
[Ches94] 
 		 Cheswick, William R./Bellovin, Stephen M.: Firewalls and Internet Security 
Addison-Wesley 1994; ISBN 0-201-63357-4 
[DoDO85] DoD: Trusted Computer System Evaluation Criteria 
DoD Computer Security Center 1985 
ftp://ftp.cert.org/pub/info/orange-book.Z
[Farr91] 
 		 Farrow, Rik: Unix System Security 
Addison-Wesley 1991; ISBN 0-201-57030-0
[ftp-ifi]  Verschiedene Informationen zum Thema Computersicherheit (hauptsächlich UNIX-spezifisch): 
ftp://ftp.informatik.uni-stuttgart.de/pub/security 
[Hafn91]  Hafner, Kathie/Markoff, John: Cyberpunk 
Econ 1991; ISBN 3-612-26035-9
[HuHo87] 
 		 Huberman, Bernardo/Hogg, Tad: Computational Ecologies 
in [Risk87] "Computers Amplify Black Monday" 
[Juba96]  Jubak, Jim: 96/10 Crash Testing 
Worth Online, http://www.founders.com/ 
[Ladk97] Ladkin, Peter: Computer-Related Incidents with Commercial Aircraft 
http://www.rvs.uni-bielefeld.de/people/ladkin/Incidents/FBW.html
[Luck97] Luckhardt, Norbert: Die Mutter der Porzellankiste 
in: c't Report 2/97: Geld Online, Heise Verlag, Hannover 1997 
[PaEn89]  Kroker, Arthur und Marilouise/Cook, David: Panic Encyclopedia: Panic Computer Capitalism 
St. Martin's Press (New York), Macmillan (London), New World Perspectives (Montreal) 1994 
http://www.freedonia.com/panic/capitalism/capitalism.html 
[Risk87]  Neumann, Peter G.: ACM Committee on Computers and Public Policy: The Risks Digest Index, Vol. 5 
http://catless.ncl.ac.uk/Risks/ 
[Rötz91]  Rötzer, Florian (Hrsg.): Digitaler Schein. 
Suhrkamp Verlag, Frankfurt 1991; ISBN 3-518-11599-5
[Ross95]  Rossnagel, Alexander: Die Verletzlichkeit der Informationsgesellschaft und rechtlicher Gestaltungsbedarf 
in Kreowski, Hans-Jörg (Hrsg.): Realität und Utopien der Informatik, 
agenda Verlag, Münster 1995 
[Spaf89] Spafford, Eugene H.: An analysis of the Internet Worm 
ftp://ftp.cs.purdue.edu/pub/spaf/security/IWorm2.PS.Z
[Stol89]  Stoll, Clifford: The Cokoo's Egg. Inside the World of Computer Espionage 
Doubleday, New York 1989 
Deutsche Ausgabe: Das Kuckucksei, Wolfgang Krüger Verlag, Frankfurt 1989; ISBN 3-8105-1862-X
[www-coa] COAST (Computer Operations, Audit, and Security Technology) Homepage 
http://www.cs.purdue.edu/coast/ 
[www-sie] 
 		 Security Server 
Vorbildlich strukturiert und gepflegt, mit eigener Suchmaschine: 
http://www.uni-siegen.de/security/ 
[www-spa] Spafford, Gene: Security Hotlist 
http://www.cs.purdue.edu/homes/spaf/hotlists/csec-top.html