Cryptography Reference
In-Depth Information
getrennt sein. Der Niedergang der britischen Barings-Bank im Jahr 1995, der
durch die versteckten Spekulationen des Angestellten Nick Leeson verursacht
wurde, war maßgeblich darauf zurückzuführen, dass es keine geeignete Rol-
lentrennung gab.
■
Logdaten-Erhebung
: Alle Vorgänge innerhalb des Systems sollten automa-
tisch protokolliert werden.
■
Vier-Augen-Prinzip
: Wichtige Vorgänge (etwa die Überweisung eines größe-
ren Geldbetrags oder die Generierung eines Schlüssels) sollten nur durchge-
führt werden, wenn zwei Personen daran beteiligt sind. Diese Regelung sollte
nach Möglichkeit technisch erzwungen werden. Ross Anderson berichtet in
der erwähnten Arbeit, dass die Zahl der Insiderangriffe auf das Zehnfache
anstieg, nachdem einige Banken an einigen Stellen das Vier-Augen-Prinzip aus
Kostengründen abgeschafft hatten.
■
Auditierung
: Ein wichtiges Instrument zur Aufdeckung von Insiderangriffen
ist schließlich noch die Durchführung von Kontrollen. In diese müssen vor
allem die Logdaten einbezogen werden.
Das große Problem bei den genannten Maßnahmen ist, dass sie einerseits einen
großen Aufwand erfordern und lästig sind, andererseits aber weder den Umsatz
erhöhen noch kurzfristig Kosten einsparen. Der Anlass für die Einführung eines
angemessenen Rollenkonzepts mit entsprechenden Zusatzmaßnahmen ist daher
oft genug ein Schadensfall.
17.6
Der Anwender als Schwachstelle
Mindestens genauso gefährlich wie ein krimineller Insider ist in vielen Fällen ein
leichtsinniger Anwender. Wenn Sie also ein praxistaugliches Krypto-System zum
Einsatz bringen wollen, sollten Sie sich auf jeden Fall Gedanken darüber machen,
wer am Ende vor dem PC sitzt, um diesen zu bedienen. Dabei sollten Sie nicht
unbedingt davon ausgehen, dass sich die Anwender freuen, Kryptografie einset-
zen zu dürfen.
17.6.1
Schwachstellen durch Anwenderfehler
Anwender sind faul, vergesslich und interessieren sich nicht für Kryptografie.
Welche Konsequenzen dies in der Praxis haben kann, wollen wir uns im Folgen-
den ansehen.
