Table Of ContentMichael Sobirey
Datenschutzorientiertes
Intrusion Detection
DuD-Fachbei trage
herausgegeben von Andreas Pfitzmann, Helmut Reimer, Karl Rihaczek
und Alexander RoBnagel
Die Buchreihe DuD-Fachbeitrage erganzt die Zeitschrift DuD - Datenschutz und
Datensicherheit in einem aktuellen und zukunftstrachtigen Gebiet, das fUr
Wirtschaft, 6ffentliche Verwaltung und Hochschulen gleichermaBen wichtig ist. Die
Thematik verbindet Informatik, Rechts-, Kommunikations- und Wirtschaftswissen
schaften.
Den Lesern werden nicht nur fachlich ausgewiesene Beitriige der eigenen Disziplin
geboten, sondern auch immer wieder Gelegenheit, Blicke tiber den fachlichen Zaun
zu werfen. So steht die Buchreihe im Dienst eines interdisziplinaren Dialogs, der die
Kompetenz hinsichtlich eines sicheren und verantwortungsvollen Umgangs mit der
Informationstechnik fOrdern mage.
Unter anderem sind erschienen:
Hans-]urgen Seelos Gunter Muller, Kai Rannenberg,
Informationssysteme und Datenschutz Manfred Reitenspiefi, Helmut Stiegler
im Krankenhaus VerliiBliche IT-Systeme
Wi/fried Dankmeier Kai Rannenberg
Codierung Zertifizierung mehrseitiger
IT-Sicherheit
Heinrich Rust
Zuverliissigkeit und Verantwortung Alexander Rofinagel, Reinhold Haux,
Wolfgang Herzog (Hrsg.)
Albrecht Glade, Helmut Reimer Mobile und sichere Kommunikation
und Bruno Struif (Hrsg.) im Gesundheitswesen
Digitale Signatur &
Sicherheitssensitive Anwendungen Hannes Federrath
Sicherheit mobiler Kommunikation
Joachim Riefi
Regulierung und Datenschutz im Volker Hammer
europaischen Die 2. Dimension der IT-Sicherheit
Telekommunikationsrecht
Patrick Horster
Ulrich Seidel Sicherheitsinfrastrukturen
Das Recht des elektronischen
Gunter Lepschies
Geschiiftsverkehrs
E-Commerce und Hackerschutz
Rolf Oppliger
Patrick Horster, Dirk Fox (Hrsg.)
IT-Sicherheit
Datenschutz und Datensicherheit
Hans H. Bruggemann
Michael Sobirey
Spezifikation von objektorientierten
Datenschutzorientiertes
Rechten Intrusion Detection
Michael Sobirey
Datenschutzorientiertes
Intrusion Detection
Grundlagen, Realisierung, Normung
~
vleweg
WINDOWS NT® ist ein eingetragenes Warenzeichen von Microsoft Corporation.
AIle Rechte vorbehalten
© Friedr. Vieweg & Sohn Verlagsgesellschaft mbH, BraunschweiglWiesbaden, 1999
Der Verlag Vieweg ist ein Unternehmen der Bertelsmann Fachinformation GmbH.
Das Werk einschlieBlich aller seiner Ieile ist urheberrechtlich
geschiitzt. Jede Verwertung auBerhalb der engen Grenzen des
Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzuliis
sig und strafuar. Das gilt insbesondere flir Vervielfaltigungen,
Obersetzungen, Mikroverfilmungen und die Einspeicherung und
Verarbeitung in elektronischen Systemen.
http://www.vieweg.de
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in die
sem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass
solche Namen im Sinne der Warenzeichen-und Markenschutz-Gesetzgebung als frei zu
betrachten waren und daher von jedermann benutzt werden diirften.
Hiichste inhaltliche und technische Qualitat unserer Produkte ist unser Zie!. Bei der
Produktion und Verbreitung unserer Biicher wollen wir die Umwelt schonen. Dieses Buch
ist deshalb auf saurefreiem und chlorfrei gebleichtem Papier gedruckt. Die EinschweiB
folie besteht aus Polyathylen und damit aus organischen Grundstoffen, die weder bei der
HersteIlung noch bei Verbrennung Schadstoffe freisetzen.
Gesamtherstellung: Lengericher Handelsdruckerei, Lengerich
ISBN-13: 978-3-528-05704-6 e-ISBN-13: 978-3-322-86850-3
DOl: 10.1007/978-3-322-86850-3
Vorwort
Grundlage der vorliegenden Arbeit ist eine 1998 von der FakuWit fUr Ma
thematik, Naturwissenschaften und Informatik der Brandenburgischen Techni
schen UniversitiH Cottbus genehmigte Dissertation. Der originale Titel dieser
Dissertation lautet "Datenschutzorientierte Audit-basierte Erkennung von IT
Sicherheitsverletzungen". Sie entstand wahrend meiner Tiitigkeit am dortigen
Lehrstuhl fur Rechnemetze und Kommunikationssysteme.
Meine Dissertation ware ohne die Unterstutzung vieler Beteiligter in dieser Form
nicht realisierbar gewesen. Herzlich danken mochte ich meinem Doktorvater,
Herm Prof. Dr. Hartmut Konig, fUr das entgegengebrachte Vertrauen, seine Hin
weise zur inhaltlichen und strukturellen Gestaltung der Arbeit sowie eingeraum
te fachliche Freiraume. Weiterhin danken mochte ich Frau Prof. Dr. Waltraut
Gerhardt (Technische Universiteit Delft) und Herm Prof. Dr. Gunter Muller
(Universitat Freiburg) fUr die Ubernahme der Zweitgutachten und ihre fachliche
Betreuung.
Herm Prof. Dr. Wilhelm Steinmuller gilt mein besonderer Dank. 1991/92 hatte
ich Gelegenheit, seiner pragenden Lehrveranstaltung zum Datenschutz an der
Universitat Bremen beizuwohnen. Er war es, der mich fUr die Thematik "Daten
schutz als Kriterium fUr die Gestaltung informationstechnischer Systeme" sensi
bilisierte.
Herzlich danken mochte ich auBerdem meinem Kollegen Birk Richter, der wesent
lichen Anteil an der praktischen Umsetzung von AID hat, insbesondere fUr seine
hilfreichen kritischen Anmerkungen. Uns verbindet eine mehrjahrige fruchtbare
Zusammenarbeit, die seit Jahresbeginn bei SECUNET in Dresden ihre Fort
setzung erfiihrt. Unter Berucksichtigung seiner innovativen, promotionswurdigen
Arbeiten im Bereich der Netz-Audit-basierten Uberwachung konzentrierte ich
mich in meiner Arbeit schwerpunktmaBig auf das Betriebssystem-Audit. Dies als
Hinweis fUr all jene, die sich ausgehend yom Titel eine aqllivalente Referenzierung
des sogenannten "Netz" -basierten Intrusion Detections gewunscht hatten.
VI
Dem Ofters recht raumgreifend dargestellten "Netz" -basierten Intrusion Detecti
on liegt eine Audit-basierte Uberwachung des Netzverkehrs zugrunde, die komple
mentar zum Betriebssystem-Audit ebenfalls nur einen Teil der insgesamt in einem
uberwachungsrelevanten Netz erfolgenden sicherheitsrelevanten Aktionen erfaBt.
Eine luckenlose Netzuberwachung erfordert beides - Informationen dariiber, was
auf (Betriebssystem-Auditdaten) und zwischen ("Netz" -Auditdaten) den im Netz
befindlichen Rechnern passiert. Um es auf einen einfachen Nenner zu bringen:
"Netz" ist nicht gleich Netz!
Ebenfalls danken mochte ich im Zusammenhang mit AID Michael Meier fUr
seinen Beitrag zur Integration des pseudonymen Audit und das Auffinden detail
spezifischer Inkonsistenzen.
Herr Dr. Kai Rannenberg fuhrte mich in die internationale Normung ein. Ge
meinsam erst ell ten wir Common Criteria Observation Reports zu pseudonymen
Audit, die Eingang in das Kriterienwerk fanden. Fur die angenehme Zusam
menarbeit und sein konsequentes Nachsetzen bei diversen Normungs-Meetings
mochte ich ihm ganz herzlich danken.
Meine Arbeit profitierte zudem von mehreren fachspezifischen Diskussionen. Herr
Prof. Dr. Andreas Pfitzmann ermoglichte mir eine Verifikation kryptographie
relevanter Passagen. Weitere Diskussionsrunden erfolgten mit Herrn Prof. Dr.
Ron Rivest und Herrn Jochen Schwarz zu Blockchiffren, mit Herrn Wolfram
ClauB sowie Herrn Prof. Dr. Andreas Heuer zu Datenbanken, mit Frau Dr.
Simone Fischer-Hubner, Frau Marie-Luise Franzen und Herrn Andreas Kossack
zu datenschutzrechtlichen Aspekten. Allen Genannten mochte ich Dank sagen.
Thomas Holz ubernahm schlieBlich die Schwerarbeit der akribischen finalen
Durchsicht der Dissertation. Herzlichen Dank dafUr, ebenso Katrin WillhOft und
Peter Langendorfer, die erfolgreich nach Tippfehlern fahndeten.
Ein abschlieBender, ganz liebevoller Dank gilt meiner Frau Silke fUr jahrelang
geduldig ertragene, arbeitsbedingte zeitliche Defizite, ihr Verstandnis und ihre
Unterstutzung. Ihr und meinen lieben Eltern, Margit und Hans-Jochen Sobirey,
mochte ich diese Arbeit widmen.
Inhaltsverzeichnis
1 Einleitung 1
1.1 Problemstellung und Zielsetzung . 1
1.2 Thematische Abgrenzung der Arbeit 3
1.3 Die Arbeit im Uberblick . . . . . . . 4
2 Von klassischer zu mehrseitiger IT-Sicherheit 7
2.1 Interpretation des IT-Sicherheitsbegriffs . 7
2.2 Datenschutz ........... . 8
2.3 Klassische schutzwiirdige Belange 9
2.4 Mehrseitige IT-Sicherheit ..... 10
2.5 Realisierung mehrseitig sicherer Systeme 12
3 Audit und Intrusion Detection 13
3.1 Die Sicherheitsfunktion Audit 13
3.1.1 Funktionale Integration und Informationsgehalt 14
3.1.2 Zu erwartende Datenaufkommen ....... . 17
3.1.3 Schutz der Funktionseinheiten und Auditdaten . 18
3.1.4 Analyse der Auditdaten 20
3.2 Intrusion Detection ...... . 21
3.2.1 Grundlegende Analysekonzepte 21
3.2.2 Die Analysekonzepte im Vergleich 23
3.3 Intrusion Detection-Systeme 26
3.3.1 Eine Klassifikation . 26
viii INHALTSVERZEICHNIS
3.3.2 Stand Alone-Intrusion Detection-Systeme . 27
3.3.3 Verteilte Intrusion Detection-Systeme ... 28
3.3.4 Ein konzeptioneller Vergleich verteilter IDS . 30
3.4 Adressierung aktueller Sicherheitsprobleme 31
3.4.1 Das Insiderproblem ........ . 31
3.4.2 Verletzlichkeit sensitiver Systemumgebungen 32
3.4.3 Trojanische Software ............ . 34
4 Audit vs. Datenschutz? 36
4.1 Das Gefahrdungspotential 36
4.2 Verfiigbarkeit leistungsstarker Analyse-Tools 38
4.3 Datenschutzrechtliche Bestandsaufnahme . . 40
4.3.1 Informationelle Selbstbestimmung und Audit. 41
4.3.2 Audit im Kontext des deutschen Datenschutzrechts 43
4.3.3 Europaische Harmonisierung . . . . . . . . . . . . 45
4.3.4 Mitbestimmung von Betriebs- und Personalraten 45
4.4 Befindlichkeiten iiberwachter Nutzer 49
4.5 Ein funktionaler Gestaltungsansatz . 52
4.5.1 Das Auswertungs- und Vertraulichkeitsproblem 52
4.5.2 Zugriffsschutz kombiniert mit Verschliisselung 53
5 Bestandsaufnahme bisheriger Ansatze 55
5.1 Erste themenrelevante Arbeiten .... 55
5.2 Intrusion Detection-Systeme und Datenschutz 56
5.3 IDA ................ . 57
5.3.1 Prinzipielle Funktionsweise . 57
5.3.2 Datenschutzspezifische Funktionalitat . 59
5.3.3 Implementation und Tests . 59
5.4 Weiterfiihrender Handlungsbedarf . 60
INHALTSVERZEICHNIS IX
6 Grundlagen des pseudonymen Audit 62
6.1 Funktionale Einftihrung ........... . 62
6.2 Nutzeridentifizierende Daten in Audit-Records 64
6.2.1 Informationsgehalt von Solaris-Auditdaten 64
6.2.2 Kategorien nutzeridentifizierender Daten 65
6.2.3 Direkt und indirekt nutzeridentifizierende Daten 66
6.2.4 Bedingt nutzeridentifizierende Daten ..... 67
6.2.5 Relativ schwach nutzeridentifizierende Daten. 67
6.3 Verfahrenstechnische Anforderungen 69
6.3.1 Vertraulichkeit der Identitat iiberwachter Nutzer . 70
6.3.2 Analysierbare pseudonyme Datenreprasentationen 71
6.3.3 Verkniipfbarkeit von Pseudonymen .. 72
6.3.4 Realisierung der Depseudonymisierung 73
6.3.5 Beriicksichtigung von Leistungsanforderungen 74
6.4 Methoden zur Generierung von Pseudonymen 74
6.5 Funktionale Integration ............ . 75
7 Pseudonymes Audit mit AID 76
7.1 Das Intrusion Detection-System AID 76
7.1.1 Entwickl ungsvorgaben . . . . 77
7.1.2 Architektur und prinzipielle Funktionsweise 78
7.1.3 Das zugrundeliegende Betriebssystem-Audit 79
7.1.4 Die Monitoring-Agenten ....... . 80
7.1.5 Das Sicherheits-Managementprotokoll . 82
7.1.6 Der Manager ............ . 83
7.1.7 Die zentrale Auswertungseinheit .. . 84
7.1.8 Modellierung von Angriffssignaturen 86
7.1.9 Implementation der Wissensbasis 88
7.1.10 Die graphische Nutzerschnittstelle . 90
7.1.11 Generierung von Sicherheitsreports 91
7.1.12 Leistungsvermogen des Systems .. 92
x INHALTSVERZEICHNIS
7.1.13 Weiterentwicklung des Intrusion Detection-Systems 94
7.2 De-/Pseudonymisierungskonzept fUr AID . . . . . . . . . 95
7.2.1 Pseudonymisierung mittels der Agenten. . . . . . 95
7.2.2 Depseudonymisierung durch das Expertensystem 96
7.2.3 Signaturen mit selektivem Nutzerbezug . . . . . . 96
7.2.4 Archivierung von Auditdaten und Analyseergebnissen . 97
7.3 Verwendbare LiSA-basierte Chiffrierverfahren . 98
7.3.1 Anforderungen an die Kryptofunktionen 98
7.3.2 Die Kryptobibliothek LiSA. 99
Stromchiffren 100
Blockchiffren 101
7.4 Die Implementation. 102
7.4.1 Implementation typ- und komponentenspezifischer Funk-
tionen . . . . . . . . . . . . . . . . . . . 102
7.4.2 Skalier barer Pseudonymisierungsumfang 103
7.4.3 Erweiterung der Agenten ..... . 103
7.4.4 Modifikation des Expertensystems . 104
8 Bewertung des Ansatzes 105
8.1 Die verwendeten Kryptoalgorithmen 105
8.2 Die verursachte Mehrbelastung ... 107
8.2.1 Mehrbelastung der uberwachten Zielsysteme 107
8.2.2 Mehrbelastung der Uberwachungsstation 109
8.3 Vertraulichkeitsschutz der Implementation 110
8.3.1 Resistenz des DES 111
8.3.2 Resistenz des RC5 112
8.3.3 Der verwendete Chiffriermodus 113
8.3.4 Die zugrundeliegenden BlockgroBen 114
8.3.5 Der erreichte Vertraulichkeitsschutz 114
8.4 Einige kryptographische Alternativen . . . 115
8.4.1 VergroBerung der BlockgroBen fur long-Eintdige 115
