Table Of ContentGerhard Weck
Patrick Horster (Hrsg.)
Verläßliche Informationssysteme
Proceedings der GI-Fachtagung VIS'93
DuD-Fachbeiträge
herausgegeben von Karl Rihaczek, Paul Schmitz, Herbert Meister
Karl Rihaczk
Datenschutz und Kommunikationssysteme
2 Einheitliche Höhere Kommunikationsprotokolle -Schicht 4
Hrsg.: Bundesministerium des Innern
3 Einheitliche Höhere Kommunikationsprotokolle -Schichten 5 und 6
Hrsg.: Bundesministerium des Innern
4 Helmut Häfer
Erfordernisse der Personaldatenverarbeitung im Unternehmen
5 Wrich von Petersdorff
Medienfunktionen und Fernmeldewesen
6 Karl Rihaczek
Datenverschlüsselung inKommunikationssystemen
7 Erwin Grochla, Helmut Weber, Thomas Werhahn
Kosten des Datenschutzes in der Unternehmung
8 Franz-Peter Heider, Detlef Kraus, Michael Welschenbach
Mathematische Methoden der Kryptoanalyse
9 Armin Herb
Verweisungsfehler im Datenschutz-Strafrecht
10 Hans-Albert Lennartz
Datenschutz und Wissenschaftsfreiheit
11 Martin Schrempf
Datenschutz bei TEMEX
12 Jürgen W. Goebel, Jürgen ScheUer
Elektronische Unterschriftsverfahren in der Telekommunikation
13 Wrich Pordesch, Volker Hammer, Alexander Roßnagel
Prüfung des rechtsgemäßen Betriebs von ISDN-Anlagen
14 Hans-Jürgen Seelos
Informationssysteme und Datenschutz im Krankenhaus
15 Heinzpeter HäUer
Kommunikationssysteme -Normung und soziale Akzeptanz
16 Gerhard Weck und Patrick Horster (Hrsg.)
Verläßliche Informationssysteme
Proceedings der GI-Fachtagung VIS'93
Gerhard Weck
Patrick Horster (Hrsg.)
Verläßliche Informationssysteme
Proceedings der GI-Fachtagung
VIS'93
IJ
vleweg
Die Deutsche Bibliothek -CIP-Einheitsaufnahme
Verlässliche Informationssysteme : proceedings der GI
Fachtagung VIS '93 / Gerhard Weck; Patrick Horster (Hrsg.).
Braunschweig ; Wiesbaden: Vieweg, 1993
(DuD-Fachbeiträge; 16)
ISBN 978-3-528-05344-4 ISBN 978-3-322-88782-5 (eBook)
DOI 10.1007/978-3-322-88782-5
NE: Weck, Gerhard [Hrsg.]; Fachtagung VIS <1993, München>;
Gesellschaft für Infonnatik; GT
Alle Rechte vorbehalten
© Friedr. Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden, 1993
Softcover reprint ofthe hardcover 1st edition 1993
Der Verlag Vieweg ist ein Unternehmen der Verlagsgruppe Bertelsmann International.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes
ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbe
sondere filr Vervielfliltigungen, Übersetzungen, Mikroverfilmungen und
die Einspeicherung und Verarbeitung in elektronischen Systemen.
Gedruckt auf säurefreiem Papier
ISBN 978-3-528-05344-4
VIS'93
Verläßliche Informationssysteme
Programmkomitee:
H. J. Appelrath, Universität Oldenburg
H. H. Brüggemann, Universität Hildesheim
R. Dierstein, DLR Oberpfaffenhofen
K. Dittrich, Universität Zürich
M. Domke, GMD-Birlinghoven
D. Fox, Schneider & Koch, Karlsruhe
W. Gerhardt, TU Delft
M. Hegenbarth, DETECON Darmstadt
F.-P. Heider, GEI Bonn
S. Herda, GMD-Birlinghoven
P. Horster, EISS Karlsruhe
F.-J. Kauffels, Euskirchen
H. Kurth, IABG Ottobrunn
V. Lange, BSI Bonn
A. Pfitzmann, Universität Hildesheim
H. Pohl, FH Bochum
E. Raubold, GMD-Darmstadt
M. Reitenspieß, SNl München
I. Schaumüller-Bichl, GENESIS Krumpendorf/Wörthersee
H.-G. Stiegler, SNI München
G. Weck, INFODAS Köln (Vorsitz)
Organisationskomitee:
H.-G. Stiegler, SNI München (Vorsitz)
Vorwort vii
Vorwort
Die Möglichkeiten zur Kontrolle komplexer Systeme, die die heutige Informations- und
Kommunikationstechnik bietet, erlauben eine Kontrolle und zumindest zeitweise Beherr
schung von Situationen und Zuständen, die ohne diese technische Hilfe kaum oder sogar
überhaupt nicht zu bewältigen wären. Dies hat innerhalb einer relativ kurzen Zeit zu einer
Durchdringung vieler Bereiche des täglichen Lebens durch diese Techniken geführt. Un
sere Gesellschaft wird somit immer abhängiger vom korrekten und zuverlässigen Funk
tionieren der technischen Steuerungssysteme, denen wir die Abwicklung wesentlicher
Vorgänge, ja sogar das korrekte Treffen lebenswichtiger Entscheidungen anvertrauen.
Man denke hier nur etwa an die Steuerung von Energieversorgungsnetzen oder die
Überwachung des Flugverkehrs durch zumindest zum Teil automatisierte Systeme.
Es wäre illusorisch zu glauben, man könnte diese Abhängigkeiten durch Verzicht auf den
Einsatz der Informations-und Kommunikationstechnik heute noch vermeiden. Nur durch
die Verwendung solcher Techniken läßt sich überhaupt noch eine Kontrolle lebenswich
tiger Vorgänge erreichen; ein Verzicht würde dagegen einen Rückfall auf einfachere ge
sellschaftliche und wirtschaftliche Strukturen früherer Jahrhunderte und damit auf einen
wesentlich niedrigeren Lebensstandard nach sich ziehen.
Andererseits ist der Einsatz von Techniken, von deren korrektem Funktionieren der Er
halt wichtiger Werte, bis hin zu menschlichem Leben, abhängt, nur dann zu rechtfertigen,
wenn diese Techniken wenigstens so zuverlässig sind wie nicht-technische Methoden zur
Erreichung desselben Zieles. Es ist somit unabdingbar, Methoden zur Einschätzung und
Gewährleistung der Zuverlässigkeit von Systemen der Informations- und Kommunikati
onstechnik zu entwickeln. Weiterhin müssen die Kenntnisse über die vorhandenen Me
thoden und den aktuellen Stand der technischen und wissenschaftlichen Entwicklung eine
möglichst weite Verbreitung fmden, da nur auf der Basis solcher Kenntnisse verantwor
tungsvolle Entscheidungen über den Einsatz und die Wahl geeigneter technischer Werk
zeuge getroffen werden können.
Angesichts der Bedeutung dieser Techniken für die heutige Gesellschaft ist es für alle
Entscheidungsträger unabdingbar, sich mit diesen Fragen auseinanderzusetzen und
profunde Kenntnisse über die Gebiete anzueignen, in denen sie Verantwortung tragen.
Der Einsatz ungeeigneter Systeme kann ebenso fatale Konsequenzen nach sich ziehen
wie ein ungerechtfertigter Verzicht, wo die Verwendung eines technischen Systems die
Zuverlässigkeit eines Prozeßablaufes erhöhen oder die bessere Kontrolle eines gesell
schaftlichen Vorganges ermöglichen könnte.
Leider bestehen gerade in Deutschland gewisse Berührungsängste zwischen der akade
mischen Forschung einerseits· und der praktischen Anwendung andererseits, die bisher
verhindert haben, daß die Wissensvermittlung auf dem Gebiet der Sicherheit inforrnati
onstechnischer Systeme zu einem Grundbestandteil der Informatik-Ausbildung wurde.
Im Gegenteil, häufig läßt sich eine solche Ausbildung abschließen, ohne daß man je von
der Bedeutung der Begriffe "Sicherheit" oder ,,zuverlässigkeit" je ein Wort gehört hätte.
Dies führt auf der anderen Seite in der Praxis oft dazu, daß entsprechende Probleme
viii Vorwort
ignoriert werden und daß man im Zweifelsfall lieber auf die - trügerische - Hoffnung
vertraut, ein eventuelles Unglück würde eher einen anderen treffen.
Die Tagung "VIS'93 - Verläßliche Informationssysteme" der Fachgruppe 2.5.3 der GI
versucht, einen Überblick über aktuelle Arbeiten auf dem Gebiet der Entwicklung siche
rer, zuverlässiger Systeme der Informations- und Kommunikationstechnik zu geben. Sie
spricht dabei ein weites Feld relevanter Fragen an, von der Prüfung der tatsächlich in ei
nem gegebenen System erreichten technischen Sicherheit über die zweifelsfreie Erken
nung der Identität eines Kommunikationspartners bis hin zur rechtlichen Relevanz elek
tronisch verrnittelter Wissensäußerungen, um nur einige zu nennen. Neben einem besse
ren Verständnis von Einzelaspekten ergibt sich hier die Möglichkeit, eine Brücke von der
Theorie zur Praxis, von gesellschaftlichen Anforderungen zu technischen Realisierungen
zu schlagen.
Ich hoffe, daß diese Tagung ein Forum für einen regen Ideenaustausch wird, und wün
sche allen Teilnehmern der VIS'93 anregende und interessante Stunden in München und
ein gutes Gelingen der Tagung. Allen Vortragenden und den Mitgliedern des Programm
komitees danke ich für ihren Einsatz, ohne den weder die Tagung noch die vorliegenden
Proceedings in dieser Form zustande gekommen wären.
Köln, im Januar 1993 G. Weck
Inhaltsverzeichnis ix
Inhaltsübersicht
Allgemeine Themen
F. Rapp: Zur Verantwortung der Experten .................................................................................. 1
R. Dierstein, K. Echtle, M. Marhöfer, E. Raubold, A. Steinacker, J. Tappe: Vor welchen
Risiken schützen uns verläßliche Informationssysteme? ................................................................ 9
E. Ehmann: Neuer europäischer Rechtsrahmen für die Datenverarbeitung ................................. 13
M. Hange: IT -Sicherheitsberatung von Anwendem durch das Bundesamt für Sicherheit
in der Informationstechnik (Konzeption, Maßnahmen und Erfahrungen) .................................... 25
ZugriffskontroUe
D. W. Storz: Regelbasierte Zugriffskontrolle in einem Client-Control-Server-Modell .................. 27
H. H. Brüggemann: Prioritäten für eine verteilte, objekt-orientierte Zugriffskontrolle ................ 51
Sicherheitsmodelle und Schutzprinzipien
A. Lubinski: Ein Rollen-Normen-Modell für den konzeptionellen Entwurf von
Sicherheitsanforderungen in Untemehmens-Informationssystemen ............................................. 67
R. Grimm, A. Steinacker: Das Kooperations-und das Gleichgewichtsmodell-Theorie
und Praxis ................................................................................................................................• 85
J. Biskup, C. Ecker/: Sichere Delegation in Informationssystemen ........................................... 107
Zuverlässigkeit und Software-Verifikation
H. Dücker: Ergebnisvalldierung und nebenläufige Hardwarefehlererkennung mittels
systematisch erzeugter Diversität ............................................................................................. 135
W. Halang, B. Krämer: Graphische Entwicklung sicherheitstechnisch abnehmbarer
Software für die Prozeßautomatisierung .................................................................................. 163
M. UI/mann, P. Kejwal, P. Baur, W. Reif, D. Hutter, E. Canver: VSE Verification
Support Environment - Ein Werkzeug zur Entwicklung vertrauenswürdiger und
zuverlässiger Systeme in Anlehnung an gültige Sicherheitskriterien .......................................... 175
Evaluationserfahrungen
E. Stöcker: Evaluation eines Großrechner-Betriebssystems - Erfahrungsbericht ....................... 191
R. Schützig: Die Evaluation des BS2000 VIO.O - Erfahrungen mit Evaluationskriterien
bei einem umfangreichen System .............................................................................................. 205
x Inhaltsverzeichnis
Sicherheitsmaßnahmen
S. Mund: Sicherheitsanforderungen - Sicherheitsrnaßnahmen ................................................... 225
J. Biskup: Sicherheit von IT-Systernen als "sogar wenn - sonst nichts - Eigenschaft" .............. 239
H. Meitner: Architektur von RiskMa - ein erster Ansatz zum on-line Risiko-
Management ............................................................................................................................ 255
Authentifikation
v. Hammer: Beweiswert elektronischer Signaturen .................................................................. 269
B. Klein, F. Damm: Komponenten informationstechnischer Authentifikationsdienste ............... 293
W. Fumy: Designprinzipien für Authentifizierungsmechanisrnen ............................................... 307
Kryptologie, Technische Realisierungen
S. Osterlehner, J. Sauerbrey: Authentisches Booten und Software-Integritätstest auf pe·
Architekturen .......................................................................................................................... 321
D. Fox: Der "Digital Signature Standard": Aufwand, Implementierung und Sicherheit ............. 333
P. Horster: Selbstmodifizierende Verbindungsnetzwerke ......................................................... 353
Sicherheit in speziellen Systemen
G. Pernul, A M. Tjoa, J. T. Hotz-Beho/sits: Datenbankmanagernentsysteme mit hohem
Sicherheitsanspruch ................................................................................................................. 371
F. Bauspieß, P. Horster, S. Stempel: Netzwerksicherheit durch selektiven Pakettransport. ....... 395
Zur Verantwortung der Experten
Friedrich Rapp
Fachbereich 14 / Philosophie
Universität Dortmund
Zusammenfassung
Die Frage nach der Funktion der Fachleute in unserer hochtechnisierten Welt und nach
der Verantwortung, die ihnen aufgrund ihrer Stellung zukommt, soll im folgenden in vier
Schritten behandelt werden. Es gilt erstens, den Verantwortungsbegrijf zu präzisieren
und die allgemeinen Voraussetzungen namhaft zu machen, unter denen jemand für einen
bestimmten Gang der Dinge verantwortlich ist. Daran anschließend wird zweitens die
Rolle und die AufgabensteIlung der Experten in unserer komplexen, arbeitsteiligen Welt
untersucht. Ferner ist drittens zu klären, wie sich die individuelle Verantwortung und das
kollektive Handeln in übergeordneten gesellschaftlichen Systemzusammenhängen zuein
ander verhalten. Der vierte und letzte Abschnitt behandelt dann die Bedeutung des Ver
trauens für das gedeihliche Zusammenleben und das reibungslose Funktionieren der ver
netzten Systeme.
1 Der Verantwortungsbegriff
Es ist nützlich - und genau besehen sogar unerläßlich -, sich Rechenschaft darüber abzu
legen, unter welchen Bedingungen überhaupt von Verantwortung gesprochen werden
kann. Wenn man nur mit einem intuitiven, nicht näher präzisierten Verantwortungsbegriff
arbeitet, sind Verwechslungen und Fehlschlüsse kaum zu vermeiden. So ist z.B. ein
Lokomotivführer, der im Nebel ein Haltesignal überfährt, für den dadurch bedingten
Unfall direkt verantwortlich. Der Leiter der technischen Abteilung der Bundesbahn, der
sich für einen kostengünstigen, aber bei schlechten Sichtverhältnissen nur schwer
erkennbaren Signaltyp entschieden hat, ist für den betreffenden Unfall nur indirekt und in
abgeschwächter Form verantwortlich. Und die vielen Staatsbürger, die eine bestimmte
Partei gewählt haben, die den Verkehrsminister stellt, der - so wollen wir einmal unter
stellen - stets erklärt hat, er werde die Kosten für den Betrieb der Bundesbahn senken,
werden sich zu Recht kaum für das Unfallgeschehen verantwortlich fühlen. Es ist offen
kundig, daß diese Fälle jeweils verschieden gelagert sind. Worin liegen die Unterschiede
begründet? Unter welchen Bedingungen läßt sich hier überhaupt von Verantwortung
sprechen?
hn strengen Sinne können nur natürliche Personen Verantwortung haben bzw. überneh
men. Bei juristischen Personen, Organisationen, Institutionen und ganzen Völkern
(Nationen) kann nur indirekt und im abgeleiteten Sinne von Verantwortung gesprochen
werden. In allen derartigen Fällen kommt es darauf an, die zunächst nur anonyme und in
