Diplomarbeit. Thema: Prof. Dr. oec. Gunter Gräfe Fachbereich Informatik / Mathematik Hochschule für Technik und Wirtschaft Dresden (FH)

Transkript

1 Hochschule für Technik und Wirtschaft Dresden (FH) Fachbereich Informatik/Mathematik Diplomarbeit im Studiengang Wirtschaftsinformatik Thema: Entwurf und prototypische Realisierung von Maßnahmen eines Autorisierungs- und Datensicherheitskonzeptes in einer SQL-basierten chemischen Stoffdatenbank eingereicht von: Mathias Herzog eingereicht am: Betreuer: Prof. Dr. oec. Gunter Gräfe Fachbereich Informatik / Mathematik Hochschule für Technik und Wirtschaft Dresden (FH) Dr. Vinzenz Brendler Institut für Radiochemie Forschungszentrum Dresden-Rossendorf e. V.

2 Danksagung Ich möchte mich an dieser Stelle bei allen bedanken, die mich bei der Bearbeitung meines Diplomarbeitsthemas unterstützt haben. Für die Betreuung seitens der Hochschule für Technik und Wirtschaft (HTW) Dresden, bedanke ich mich bei Herrn Prof. Günter Gräfe. Außerdem danke ich Herrn Dr. Vinzenz Brendler vom Forschungszentrum Dresden-Rossendorf, für zahlreiche interessante Diskussionen und die Betreuung meiner Diplomarbeit. Des Weiteren möchte ich den Verbundspartnern im Verbundprojekt THEREDA, besonders Frau Dr. Anke Richter vom Forschungszentrum Dresden-Rossendorf, Herrn Dr. Helge Moog von der Gesellschaft für Anlagen- und Reaktorsicherheit sowie Herrn Steffen Leske meinen Dank aussprechen.

3 Inhaltsverzeichnis ABBILDUNGSVERZEICHNIS... IV TABELLENVERZEICHNIS... V ABKÜRZUNGSVERZEICHNIS... VI 1. EINLEITUNG IT-SICHERHEIT ASPEKTE DER IT-SICHERHEIT Begriffe BSI: Leitfaden IT-Sicherheit Gesetze und Standards MAßNAHMEN ZUR DATENSICHERHEIT IN DATENBANKSYSTEMEN Transaktion Datenintegrität VERSCHLÜSSELUNGSVERFAHREN ZUR SICHEREN KOMMUNIKATION Kryptographische Grundlagen Verfahren zur sicheren Kommunikation AUTHENTIFIZIERUNG UND AUTORISIERUNG AUTHENTIFIZIERUNG Passwort-Authentifizierung Smart Card Fingerprint-Scanner Digitale Zertifikate Digitale Signatur Challenge-Response-Authentifizierung AUTORISIERUNG Discretionary Access Control (DAC) Mandatory Access Control (MAC) Role-based Access Control (RBAC) I -

4 4. WEB-TECHNOLOGIEN UND SPEZIELLE ANGRIFFSTECHNIKEN SICHERHEITSASPEKTE WEBBASIERTER TECHNOLOGIEN clientseitige Technologien serverseitige Technologien BEDROHUNGEN AUS DEM Parametermanipulation SQL-Injection Denial of Service (DoS) Cross-Site Scripting (XSS) THEREDA: AUSGANGSITUATION UND ANFORDERUNGEN ZIELE UND NUTZEN VON THEREDA AUSGANGSSITUATION FUNKTIONALE ANFORDERUNGEN NICHT-FUNKTIONALE ANFORDERUNGEN ENTWURF NUTZERVERWALTUNG BENUTZERFUNKTIONEN unregistereduser registereduser author auditor accessadministrator systemadministrator SYSTEMFUNKTIONEN Prüfen / Controlling Logging Verarbeitung PROTOTYPISCHE REALISIERUNG THEREDA: DER DATENBANKNUTZER AUTHENTIFIZIERUNG II -

5 7.2.1 Serverauthentifizierung Clientauthentifizierung FAZIT I. ANHANG II. LITERATURVERZEICHNIS III -

6 Abbildungsverzeichnis Abbildung 1: Zusammenhang der Begriffe... 3 Abbildung 2: Einfaches kryptographisches Modell, nach [B_KAPPE1], S Abbildung 3: Symmetrische Kryptographie, vgl. [B_KAPPE1], S Abbildung 4: Asymmetrische Kryptographie, nach [B_KAPPE1], S Abbildung 5: SSL-Handshakeverfahren, vgl. [B_MARTI1], S Abbildung 6: Asymmetrische Challenge-Response-Authentifizierung, vgl. [B_KAPPE1], S Abbildung 7: THEREDA: Web-Architektur Abbildung 8: THEREDA: Nutzergruppendiagramm Abbildung 9: USE CASE: unregistereduser Abbildung 10: USE CASE: registered User Abbildung 11: USE CASE: author Abbildung 12: USE CASE: auditor Abbildung 13: USE CASE: accessadministrator Abbildung 14: USE CASE: systemadministrator Abbildung 15: Erstellung des Serverzertifikats mittels OpenSSL Abbildung 16: Passwortprüffunktion, nach [B_KUNZx1], S. 156f IV -

7 Tabellenverzeichnis Tabelle 1: Vergleich der Methoden zur Benutzerauthentifizierung, vgl. [I_BROMB1] Tabelle 2: Übersicht möglicher Passworträume, nach [B_KAPPE1], S Tabelle 3: Passwortrichtlinien, vgl. [B_RICHT1], S Tabelle 4: Crack-Dauer für Windows-Passwörter (NTLM), nach [Z_CT0609], S Tabelle 5: Open Source Lizenzen, nach [I_KLEIJ1] Tabelle 6: Übersicht Angriffsmethoden, vgl. [I_BREAC1], S Tabelle 7: THEREDA: Versionsänderungen Tabelle 8: THEREDA: Benutzerfunktionen, nach Nutzergruppen geordnet Tabelle 9: THEREDA: Systemfunktionen Tabelle 10: Nicht-funktionale Anforderungen, nach ISO Tabelle 11: THEREDA: Vordefinierte Auditstati Tabelle 12: THEREDA: Passwortrichtlinien V -

8 Abkürzungsverzeichnis ADO.NET... ActiveX Data Object.NET API... Application Programming Interface ASCII... American Standard Code for Information Interchange ASP... Active Server Pages BDSG... Bundesdatenschutzgesetz BMBF... Bundesministerium für Bildung und Forschung BMU... Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit BMWi... Bundesministerium für Wirtschaft und Technologie BSI... Bundesamt für Sicherheit in der Informationstechnik BSI G... BSI Gesetz CAPTCHA... Completely Automated Public Turing-Test to Tell Computers and Humans Apart CC... Common Criteria CMS... Content Management System COM... Component Object Model COS... Chip Operating System CSS... Cascading Style Sheets DAC... Discretionary Access Control DBMS... Datenbankmanagementsystem DIN... Deutsche Industrie Norm DoS... Denial of Services FSF... Free Software Foundation HTML... Hypertext Markup Language HTTP... Hypertext Transfer Protocol HTTPS... HTTP Secure ID... Identifikator IEC... International Electrotechnical Commission IIS... Internet Information Services ISO... International Organization for Standardization - VI -

9 ITSEC... Information Technology Security Evaluation Criteria ITSK... Deutschen IT-Sicherheitskriterien J2EE... Java Platform, Enterprise Edition JDBC... Java Database Connectivity JSON... JavaScript Object Notation JSP... Java Server Pages JVM... Java Virtual Machine LDSG... Landesdatenschutzgesetz MAC... Mandatory Access Control MS-EXCEL... Microsoft-Excel NATO... North Atlantic Treaty Organization NSA... National Security Agency NTML... NT LAN Manager OSI... Open Source Initiative PHP... PHP: Hypertext Preprocessor PIN... Personal Identification Number RBAC... Role-bases Access Control SigG... Signaturgesetz SQL... Structured Query Language SSI... Server Side Includes SSL... Secure Socket Layer TAN... Transaction Authentication Number TCP... Transmission Control Protocol TCSEC... Trusted Computer Security Evaluation Criteria THEREDA... Thermodynamische Referenzdatenbasis TKG... Telekommunikationsgesetz TLS... Transport Layer Security URL... Uniform Resource Locator WAL... Write-Ahead-Log World Wide Web XML... Extensible Markup Language XSS... Cross-Site Scripting - VII -

10 1. Einleitung Um die Sicherheit eines Endlagers für radioaktive Abfälle, sowie von Untertagedeponien für chemisch-toxische Stoffe und die Sanierung von Altlasten des Uranbergbaus zu gewährleisten, ist es von entscheidender Bedeutung den Schadstofftransport in die Biosphäre voraussagen zu können. Hierfür ist ein vertieftes Verständnis der physikalisch-chemischen Eigenschaften der Schadstoffe, wie auch ihrer Wechselwirkungen im System Abfall, Geosphäre und Biosphäre erforderlich. Die derzeit vorhandenen Datenbasen sind jedoch nicht einheitlich, inkonsistent, unvollständig und bieten nur einen begrenzten Variationsbereich für Temperatur und Druck. Um Grundzüge einer einheitlichen, konsistenten und qualitätsgesicherten thermodynamischen Referenzdatenbasis zu entwickeln, hat sich der Arbeitskreis Thermodynamische Referenzdatenbasis gebildet. Für weitere Details wird auf Altmaier et al. ([Z_ALTMAI]) verwiesen. Zu den Mitgliedern des Arbeitskreises gehören die Gesellschaft für Anlagen- und Reaktorsicherheit, das Institut für Nukleare Entsorgung des Forschungszentrums Karlsruhe, das Institut für Radiochemie des Forschungszentrums Dresden-Rossendorf, das Institut für Anorganische Chemie der TU Bergakademie Freiberg sowie die AF- Colenco AG (Baden/CH). Seit Juli 2006 wird durch das Bundesministerium für Bildung und Forschung (BMBF), das Bundesministerium für Wirtschaft und Technologie (BMWi) und das Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit (BMU) das Projekt THEREDA Thermodynamische Referenzdatenbasis gefördert. Das Projekt zielt darauf ab, Langzeitsicherheitsanalysen mittel- bis langfristig besser, zuverlässiger, vergleichbarer, belastbarer und nachvollziehbarer zu machen. Datenintegrität, sowie Zugriffsschutz spielen in diesem Projekt eine bedeutende Rolle, da die Datenbasis für sicherheitsrelevante Aufgaben mit hoher öffentlicher Aufmerksamkeit eingesetzt werden soll. Die vorliegende Diplomarbeit widmet sich - 1 -

11 1. Einleitung aufgrund dessen daher den verschiedenen Aspekten der IT-Sicherheit, sowie den Methoden zur Authentifizierung und Autorisierung von Nutzern. Des Weiteren werden verschiedene Web-Technologien hinsichtlich ihrer Sicherheit diskutiert und einige Angriffsmethoden vorgestellt. In Zusammenarbeit mit dem Projektpartner Forschungszentrum Dresden-Rossendorf erfolgte eine Analyse der Ausgangsituation. Darauf aufbauend werden die einzelnen Nutzergruppen sowie die damit verbundenen funktionalen Anforderungen an das THEREDA Projekt definiert. Im weiteren Verlauf erfolgt eine Konkretisierung und Verknüpfung dieser Anforderungen. Abschließend werden der Datenbanknutzer, die Webserverauthentifizierung sowie die Passwortrichtlinien prototypisch realisiert. Diese Diplomarbeit ist ein weiterer Grundbaustein innerhalb des THEREDA Projektes. Ihr Wert liegt vor allem in der konzeptionellen Zuarbeit für nachfolgende Projektphasen mit dem Schwerpunkt der Realisierung der einzelnen hier definierten funktionalen Anforderungen

12 2. IT-Sicherheit 2. IT-Sicherheit In diesem Kapitel werden die für diese Arbeit relevanten Begriffe definiert. Anschließend wird auf allgemeine Richtlinien, Gesetze und Standards, die sich mit verschiedenen Aspekten der Sicherheit von Informationssystemen befassen, eingegangen. Nach diesem allgemeinen Überblick werden Maßnahmen zur Datensicherheit in Datenbanken vertieft betrachtet, bevor abschließend einige Verschlüsselungsverfahren und deren Einsatzgebiet in der Kommunikationstechnik behandelt werden. 2.1 Aspekte der IT-Sicherheit Begriffe Unter IT-Sicherheit versteh[t man] den Schutz von Informationen und Informationssystemen gegen unbefugten Zugriff und Manipulation sowie die Sicherstellung der Verfügbarkeit der durch die Systeme bereitgestellten Dienste für legitime [N]utzer, einschließlich aller Maßnahmen zur Verhinderung, Entdeckung oder Protokollierung von Bedrohungen., Kappe ([B_KAPPE1], S. 2) IT-Sicherheit Datensicherheit Zugriffsschutz Verfügbarkeit Integritätssicherheit Protokollierung Authentifizierung Autorisierung Protokollierung Protokollauswertung Backup/Recovery Abbildung 1: Zusammenhang der Begriffe Die Datensicherheit wird im Rahmen dieser Arbeit mit der Integritätssicherung gleichgesetzt und beschäftigt sich mit der Sicherung der Richtigkeit, Vollständigkeit und logischen Widerspruchsfreiheit der Daten ([I_HTWDD1], S. 4). In Kapitel

13 2. IT-Sicherheit wird die Integritätssicherung näher betrachtet. Des Weiteren schließt die Integritätssicherung die Protokollierung von Änderungen am Datenbestand mit ein. Unter dem Zugriffsschutz sind die Authentifizierung, Autorisierung und das Protokollieren von Anmeldeinformationen zu verstehen. Dabei beschäftigt sich die Authentifizierung mit der eindeutigen Identifikation von Nutzern und Systemen. Die Autorisierung befasst sich dagegen mit der Zugriffskontrolle (engl. access control) und der Vergabe bzw. dem Entzug von Rechten/Privilegien an Nutzer. Dabei werden die verschiedenen Möglichkeiten und Maßnahmen zur Authentifizierung und Autorisierung in Kapitel 3 ausführlicher diskutiert. Beim Zugriffsschutz unterscheidet man zwischen Subjekt (engl subject), Objekt (engl. object) und den eigentlichen Zugriffsrechten (engl. access right). Ein Subjekt ist ein Nutzer, eine Rolle, ein Prozess oder ein System, welches eine Handlung auslöst. Die initiierte Handlung wird auf einem entsprechenden Objekt bzw. einer entsprechenden Ressource ausgeführt. Objekte können z.b. Tabellen oder Funktionen sein. Unter Umständen können auch Subjekte Gegenstand einer Handlung werden und somit als Objekte auftreten. Die Zugriffsrechte beschreiben, welche Handlungen ein Subjekt an einem Objekt durchführen darf. Dabei kann ein Subjekt z.b. lesende, schreibende, ausführende oder löschende Zugriffsrechte für ein Objekt besitzen. Die Verfügbarkeit besagt, dass das System für legitime Nutzer immer erreichbar ist. Hierfür sollen die verschiedenen Protokolldateien ausgewertet werden, um eventuelle Bedrohungen frühzeitig zu erkennen und ggf. die Angriffspunkte zu eliminieren. Nach einem Systemausfall kann mittels der in Kapitel vorgestellten Backupvarianten sowie der Logging- und Protokolldateien, die Systemwiederherstellung (engl. recovery) schnellstmöglich gewährleistet werden. Dabei ist es notwendig, die erstellten Backups auf deren Funktionstüchtigkeit zu prüfen und den Wiederherstellungsprozess zu trainieren. Innerhalb dieser Arbeit wird auf die Verfügbarkeit des Systems nicht weiter eingegangen

14 2. IT-Sicherheit BSI: Leitfaden IT-Sicherheit Die Bundesregierung hat eine spezielle Bundesbehörde gebildet, das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Behörde befasst sich mit den in 3 (1) des BSI Gesetzes (BSIG) definierten Aufgaben. Dazu zählen unter anderem: 3. [die] Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Verfahren und Geräten für die Sicherheit in der Informationstechnik [..], soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließlich der Forschung im Rahmen seiner gesetzlichen Aufgaben; 4. [die] Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten [...]; 5. [die] Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten und Erteilung von Sicherheitszertifikaten; [ ]. ([I_BSIGx1], 3 (1)) Die durch das BSI erstellten oder in Auftrag gegebenen Studien, Richtlinien und Empfehlungen sowie zahlreiche Publikationen, welche sich mit Sicherheitsfragen in der Informationstechnik befassen, werden auf der Webpräsenz des BSI ([I_BSIxx1]) veröffentlicht. An gleicher Stelle ist ebenfalls der Leitfaden IT-Sicherheit, der einen kompakten Überblick über die wichtigsten organisatorischen, infrastrukturellen und technischen IT-Sicherheitsmaßnahmen [gibt]. ([I_BSILF1], Seite 3), publiziert. Im Folgenden wird jeweils eine organisatorische, eine infrastrukturelle und eine technische Maßnahme zur Sicherstellung bzw. Verbesserung der IT-Sicherheit erläutert. 15. Datenzugriffsmöglichkeiten sollten auf das erforderliche Mindestmaß beschränkt werden ([I_BSILF1], Seite 23) Ein Anwender sollte immer nur auf die von ihm benötigten Ressourcen und Informationen Zugriff haben, das Need-to-Know Prinzip. Hierfür ist es sinnvoll und teilweise notwendig, den Anwendern spezielle Rollen und Profile zuzuordnen, um so - 5 -

15 2. IT-Sicherheit den organisatorischen Aufwand zu reduzieren. Wichtig ist ebenfalls, dass nicht benötigte Zugriffsrechte schnellstmöglich entzogen werden können, um die Gefahr von unberechtigten Zugriffen zu minimieren. Näheres wird in Kapitel 3.2. unter Autorisierung erläutert. 22. Zum Schutz von Netzen muss eine Firewall verwendet werden ([I_BSILF1], Seite 26) Eine Firewall bietet die Möglichkeit, zwei oder mehrere Netze bzw. Teilnetze voneinander abzuschirmen bzw. den Datenverkehr zu filtern. Dabei wird Datenverkehr nach speziellen Regeln innerhalb der Firewall gefiltert und auffällige/verdächtige Datenpakete werden blockiert. Diese Filterung des Datenverkehrs findet anhand definierter Regeln innerhalb der Firewall statt. So ist man z.b. besser in der Lage, ein internes Netzwerk vor bekannten Viren oder Angriffen von außen zu schützen. 37. Alle wichtigen Daten müssen regelmäßig gesichert werden (Backup) ([I_BSILF1], Seite 31) Die Datensicherung (engl. Backup) sichert den Zustand oder die Daten eines Systems zu einem bestimmten Zeitpunkt. Dadurch ist man in der Lage, ein System bzw. Daten nach einem Hardware- oder Softwareausfall bzw. -defekt ohne größere Datenverluste wiederherzustellen. Es sollte darauf geachtet werden, dass das Backupmedium, z.b. eine DVD oder eine andere Festplatte, an einem anderem Ort aufbewahrt wird Gesetze und Standards Neben den Richtlinien, welche im Leitfaden des BSI aufgeführt sind, gibt es in Deutschland verschiedene Gesetze, die sich mit unterschiedlichen Aspekten der IT- Sicherheit beschäftigen. Zu diesen zählen unter anderem das Bundesdatenschutzgesetz, das Telekommunikationsgesetz sowie das Signaturgesetz, die nachfolgend kurz erläutert werden. Weitere Gesetze werden innerhalb dieser Arbeit nicht betrachtet, stattdessen wird auf Spezialliteratur wie z.b. [B_KOITZ1] verwiesen

16 2. IT-Sicherheit Bundesdatenschutzgesetz Das Bundesdatenschutzgesetz (BDSG) beinhaltet Regelungen für den Umgang und die Verarbeitung personenbezogener Daten natürlicher Personen, sowie Bußgeld- und Strafvorschriften. Jede natürliche Person soll davor geschützt werden, dass sie durch den Umgang mit ihren personenbezogenen Daten in ihrem Persönlichkeitsrecht beeinträchtigt wird, Koitz ([B_KOITZ1], Seite 232). Dies ist auch in 1 Abs. 1 des BDSG definiert. Der erste Abschnitt des BDSG enthält weitere grundlegende Definitionen, so genannte Legaldefinitionen. Die weiteren Abschnitte beinhalten u. a., wie öffentliche und nicht öffentliche Stellen mit personenbezogenen Daten umzugehen haben und welche Rechte eine natürliche Person besitzt, um den Umgang mit personenbezogenen Daten einzuschränken. Jedes Bundesland besitzt sein eigenes Datenschutzgesetz, die so genannten Landesdatenschutzgesetze (LDSG). Diese beinhalten die Regelungen für die öffentlichen und nicht-öffentlichen Stellen des jeweiligen Bundeslandes. Telekommunikationsgesetz Das Telekommunikationsgesetz (TKG) umfasst technologieneutrale Regelungen, mit denen der Wettbewerb in den Bereichen der Telekommunikation sowie der Telekommunikationsinfrastruktur gewährleistet und gefördert werden sollen. Hierfür enthält das Gesetz neben den Marktregulierungen und dem Kundenschutz auch die Aufgaben und Befugnisse der Bundesnetzagentur. Die Bundesnetzagentur legt den gesetzgebenden Körperschaften des Bundes [...] einen Bericht über ihre Tätigkeit sowie über die Lage und die Entwicklung auf dem Gebiet der Telekommunikation vor [...], nach 121 (1) TKG. Signaturgesetz Im Signaturgesetz (SigG) sind Rahmenbedingungen für elektronische Signaturen definiert sowie Legaldefinitionen für diesen Bereich. Auf digitale Signaturen und die dadurch erreichbaren Authentifizierungsmöglichkeiten wird in Kapitel näher eingegangen

17 2. IT-Sicherheit Neben diesen Gesetzen und Richtlinien existieren noch mehrere verschiedene Standards. Dazu zählen die Trusted Computer Security Evaluation Criteria (TCSEC), die in den USA durch die National Security Agency (NSA) zusammengestellt wurden. Diese Kriterien sind in dem so genannten Orange Book (einfache Systemsicherheit), dem Red Book (Interpretation des Orange Book im Kontext von Netzwerken) oder dem Blue Book (NATO TCSEC, 1987, inhaltlich mit Orange Book übereinstimmend) definiert. Des Weiteren gibt es die Europäischen Kriterien (ITSEC), die deutschen Sicherheitskriterien (ITSK), sowie die Common Criteria (CC), welche in der ISO standardisiert wurden. (vgl. [S_FRITZ1]) 2.2 Maßnahmen zur Datensicherheit in Datenbanksystemen In Datenbanksystemen stellt das Datenbankmanagementsystem (engl. Database Management System, kurz DBMS) unter anderem die Funktionen des Zugriffsschutzes und der Datensicherheit zur Verfügung. Die Konzepte des Zugriffsschutzes werden in Kapitel 3 ausführlicher diskutiert. Im Folgenden wird das Transaktionskonzept in Datenbanken betrachtet und hinsichtlich des Zugriffsschutzes untersucht. Anschließend wird auf die Integritätssicherung näher eingegangen Transaktion Eine Transaktion ist eine konsistenzerhaltende Operation auf einer Datenbank, d.h. sie lässt die Datenbank in konsistentem Zustand zurück, wenn diese vor Beginn der Transaktion schon konsistent war, Zehnder ([B_ZEHND1], S. 47). Konsistent steht in diesem Zusammenhang für die Einhaltung der semantischen Integritätsbedingungen, basierend auf dem ACID-Prinzip. Dieses stellt die Merkmale einer Transaktion dar: Atomicity (Ununterbrechbarkeit, Atomarität) Diese Eigenschaft besagt, dass eine Transaktion entweder vollständig oder gar nicht ausgeführt wird, also nach dem Alles oder Nichts -Prinzip. Wird eine Transaktion nicht erfolgreich abgeschlossen, so wird der konsistente Zustand, der vor Beginn der Transaktion vorlag, wiederhergestellt und damit die Zwischenergebnisse der Transaktion zurückgesetzt

18 2. IT-Sicherheit Consistency (Konsistenzerhaltung) Die Konsistenzerhaltungseigenschaft einer Transaktion stellt sicher, dass sich die Datenbank vor bzw. nach einer Transaktion in einem konsistenten Zustand befindet. Isolation (Isolation, Isolierter Ablauf) Jede Transaktion läuft unabhängig von allen anderen parallelen Transaktionen ab. Hier wird sichergestellt, dass eine Transaktion nicht auf inkonsistente Zwischenwerte einer anderen Transaktion zugreifen kann und dass eine Transaktion selbst keine inkonsistenten Werte zur Verfügung stellt. Durability (Dauerhaftigkeit, Persistenz) Die Dauerhaftigkeitseigenschaft stellt sicher, dass Ergebnisse erfolgreich abgeschlossener Transaktionen nicht verloren gehen, selbst wenn vor dem physischen Schreiben Fehler auftreten. In einigen Fällen kann das ACID-Prinzip nicht während einer gesamten Transaktion eingehalten werden. In diesem Fall soll [d]as Ergebnis einer Transaktion [ ] berechnet werden, als sei sie nach dem ACID-Prinzip abgelaufen[ ], Saake ([B_SAAKE1], S. 500). Zielsetzung ist und bleibt, die Datenbank von einem konsistenten in einen anderen konsistenten Zustand zu überführen. Eine Transaktion kann entweder mit einem COMMIT oder ABOUT abgeschlossen werden. Bei einem COMMIT tritt kein Fehler innerhalb einer Transaktion auf und die Transaktion wird erfolgreich abgeschlossen. Das heißt, dass sich die Datenbank in einem neuen konsistenten Zustand befindet. Wird eine Transaktion mittels eines ABOUT abgebrochen, wird in der Regel der konsistente Zustand vor Beginn einer Transaktion wiederhergestellt. Das ACID-Prinzip, COMMIT und ABOUT sind die grundlegendsten Eigenschaften, welche das Transaktionskonzept aufweist. Innerhalb einer Transaktion, in der mehrere Befehle/Anweisungen ausgeführt werden können, kann aus unterschiedlichen Gründen ein Abbruch (ABOUT) der Transaktion erfolgen, beispielsweise durch die Verletzung von Zugriffsberechtigungen oder von Integritätsbedingungen

19 2. IT-Sicherheit Innerhalb einer Transaktion wird geprüft, ob ein Subjekt für die Ausführung der Befehle/Anweisungen die notwendigen Rechte für die davon betroffenen Objekte besitzt. Ist dies nicht der Fall, so wird diese Transaktion durch ein ABOUT beendet. Ein Transaktionsabbruch kann außerdem durch die Verletzung der Datenintegrität erfolgen, welches im nächsten Unterkapitel diskutiert wird Datenintegrität Die Datenintegrität beschäftigt sich mit der Sicherung der Richtigkeit, Vollständigkeit und logischen Widerspruchsfreiheit der Daten ([I_HTWDD1], S. 4). Dabei unterscheidet man in 1. Semantische Integrität 2. Operationelle Integrität 3. Physische Integrität. Semantische Integrität Die semantische Integrität befasst sich mit der Gewährleistung der Richtigkeit, Korrektheit und logischen Widerspruchsfreiheit der Daten. Die semantische Integrität [kann] durch Fehler (beabsichtigt oder unbeabsichtigt) bei der Eingabe und Änderung der Daten verletzt [werden] ([I_HTWDD2], S. 4). Dieser Prozess der Dateneingabe und -änderung wird vom DBMS überwacht und die Einhaltung der semantischen Integrität anhand von definierten Integritätsbedingungen sichergestellt. Integritätsbedingungen müssen manuell aufgestellt werden und bestehen in vollständiger Form aus den vier nachfolgenden Bestandteilen: die eigentliche Integritätsbedingung Objektangaben (Attributwerte, Spalte, Tupel, Relation), auf die sich die Integritätsbedingung bezieht die Auslöseregel, die angibt, wann die Einhaltung der Bedingung überprüft werden soll (z.b. gleich nach Abschluss der Elementaroperation oder am Ende der Transaktion)

20 2. IT-Sicherheit die Reaktionsregel, die angibt, welche Aktionen bei der Verletzung der Bedingung auszulösen sind (z.b. Meldung an den Nutzer, Rücksetzen der Transaktion) ([I_HTWDD2], S. 7). Die Sicherung der semantischen Integrität lässt sich unter anderem mittels Check- Klauseln, Rules, Assertions oder auch Trigger realisieren. Diese werden im Rahmen dieser Arbeit nicht näher erläutert, vgl. [I_HTWDD2], [B_GERHA1] sowie [B_LONEY1]. Operationelle Integrität Operationelle Integrität wird auch als Ablaufintegrität bezeichnet. Hierbei handelt es sich um das Verhindern von Fehlern, die durch den gleichzeitigen Zugriff mehrerer Nutzer auf die Datenbank entstehen können, Gerhardt ([B_GERHA1], S. 31). Zur Vermeidung dieser Fehler müssen die gleichzeitig zugreifenden Nutzer bzw. Transaktionen synchronisiert die parallelen Abläufe serialisiert werden ([I_HTWDD3], S. 4). Die größte Gefahr, die durch den Mehrnutzerbetrieb entstehen kann, sind Fehler im Datenbestand. Diese können durch das Phantomproblem, nichtwiederholbares Lesen, verloren gegangene Änderungen sowie den Zugriff auf schmutzige Daten bzw. Zugriff auf nicht freigegebene Änderungen auftreten, die in ([I_HTWDD3], S. 5) genauer spezifiziert werden. Auf diese Probleme wird aber nicht weiter eingegangen. Zur Sicherstellung der operationellen Integrität gibt es drei unterschiedliche Verfahren: 1. Pessimistische oder Sperrverfahren: Bei diesen Verfahren wird vom schlimmsten Fall ausgegangen, das heißt, dass parallele Transaktionen auf die gleichen Daten [...] zugreifen werden und so Konflikte sehr wahrscheinlich sind ([I_HTWDD1], S. 9). Aus diesem Grund werden die von einer Transaktion benutzen Daten für deren Dauer für andere Transaktionen gesperrt. 2. Optimistische Verfahren: Im Gegensatz zu dem pessimistischen Verfahren gehen [optimistische Verfahren] davon aus, dass parallele Transaktionen nicht auf die gleichen[...] Daten zugreifen. ([I_HTWDD3], S. 9). Um sicherzustellen, dass durch diese Verfahrensweise keine Fehler im Datenbestand generiert werden, wird vor Abschluss einer Transaktion geprüft, ob Konflikte aufgetreten

21 2. IT-Sicherheit sind. Das heißt, es werden die Datensätze, die während der Transaktion gelesen wurden, mit den entsprechenden Datensätzen in der Datenbank verglichen. Im Fall eines Konfliktes wird die Transaktion zurückgesetzt, andernfalls wird sie erfolgreich abgeschlossen. 3. Zeitstempelverfahren: Bei diesen Verfahren wird mit Zeitstempeln gearbeitet. Das bedeutet, dass bei der Verwendung von Datenbankobjekten durch eine Transaktion eine Lesezeitmarke gesetzt wird. Ändert die Transaktion ein entsprechendes Datenobjekt und versucht dieses zurückzuschreiben, so wird eine Schreibzeitmarke gesetzt. Durch den [V]ergleich der unterschiedlichen Zeitmarken kann ermittelt werden, ob eine Transaktion erfolgreich fortgeführt werden kann oder [ggf.] erneut gestartet werden muss ([I_HTWDD3], S. 9). Physische Integrität Mittels der physischen Integrität stellt man den Schutz vor Verlust der Daten durch physische Zerstörung oder Fehler sicher. Diese Fehler werden in Software- und Hardwarefehler eingeteilt. Sie können außerdem durch gezielte Angriffe herbeigeführt werden. Um Daten vor Verlust zu schützen, sollte regelmäßig eine Datensicherung (engl. Backup) durchgeführt werden. Mit Hilfe der Backups wird ein konsistenter Datenbankzustand zu einer bestimmten Zeit gesichert. Die darauf folgenden Änderungen am Datenbestand werden in Protokolldateien dokumentiert. Im Falle eines Systemausfalls wird der in den Backupdateien gespeicherte konsistente Zustand durch einen Recovery-Prozess wiederhergestellt. Anschließend werden die in den Protokolldateien dokumentierten Änderungen am Datenbestand eingespielt, um den Zustand vor dem Systemausfall zu rekonstruieren. Dabei kann man die Backups nach komplettem, partiellem oder inkrementellem sowie zwischen Online- und Offline- Backup unterscheiden. Für nähere Beschreibungen und Erläuterungen siehe Störl ([B_STÖRL1], S ) oder Lemay ([B_LEMAY1], S )

22 2. IT-Sicherheit 2.3 Verschlüsselungsverfahren zur sicheren Kommunikation Zum Schutz von sensiblen Daten werden verschiedene Verschlüsselungsverfahren eingesetzt, z.b. zur Verschlüsselung von Passwörtern. Durch diese Verfahren sind die Daten nicht ohne Weiteres für Dritte lesbar. Der Schutz innerhalb eines Systems reicht aber nicht aus, sobald dieses mit anderen Systemen/Nutzern über ein unsicheres Medium kommuniziert. Das World Wide Web, kurz WWW, ist eines dieser unsicheren Medien. Darum wurden verschiedene Protokolle und Verfahren für den Einsatz im WWW entwickelt, um die Kommunikation und somit auch die Daten besonders zu schützen. Nachfolgend werden die grundlegenden Verfahren der Verschlüsselung kurz erläutert. Anschließend wird auf das SSL-Protokoll näher eingegangen, das diese Grundlagen nutzt und im WWW eine sichere Kommunikation ermöglicht Kryptographische Grundlagen Das Verschlüsseln von Daten oder Nachrichten wird als Kryptographie bezeichnet. Dabei wird vereinfacht dargestellt eine Klartextnachricht in einen Geheimcode verschlüsselt. Dies passiert bei den modernen Kryptographieverfahren mittels eines so genannten Schlüssels bzw. eines Schlüsselpaares. Das Verschlüsseln von Nachrichten wird als Chiffrieren und die verschlüsselte Nachricht als Chiffriertext bezeichnet. Dieser Chiffriertext lässt sich nur mit dem passenden Schlüssel in die ursprüngliche Klartextnachricht überführen, was als Dechiffrieren bezeichnet wird. Dies wird vereinfacht in Abb. 2 veranschaulicht. Chiffrierschlüssel Dechiffrierschlüssel Klartext Chiffrierverfahren Chiffriertext Chiffriertext Dechiffrierverfahren Klartext Verschlüsselung Entschlüsselung Abbildung 2: Einfaches kryptographisches Modell, nach [B_KAPPE1], S