IBM MAGEN - Brilliante Demonstration, auf welche Weise man IT-Sicherheit nicht gestalten sollte

Das IBM Forschungslabor in Israel hat etwas Neues entwickelt: eine Software namens "MAGEN" ("Masking Gateway for Enterprises", auch hebräisch für "Schutz" oder "Schild"). Ihr Zweck: sensible Daten vor unbefugten Augen schützen. Das Prinzip: die Software schaltet sich vor die Bildschirmausgabe, analysiert den Bildschirminhalt mittels OCR, findet sensible Daten auf dem Bildschirm und blendet diese aus.

Als erstes Beispielanwendungsgebiet muss dann auch gleich das allseits beliebte indische Callcenter herhalten. So würde die Software verhindern, dass ein Callcenter-Mitarbeiter beim Aufruf des Kundensatzes sensible Daten wie z.B. die Kreditkartennummer zu Gesicht bekomme, während er aber andere persönliche Daten wie Name oder Kaufhistorie einsehen kann.

Das zweite Beispiel ist noch besser: eine Krankenversicherung, in der Mitarbeiter eines Outsourcing-Unternehmens zwar den Kundensatz aufrufen können sollen, aber nicht die Krankengeschichte. Okay, aufrufen können sie die Krankengeschichte schon, sie wird aber unlesbar gemacht. Offensichtlich sind die IBM-Forscher der Meinung, der einzige Weg zur Zugriffsgestaltung in IT-Systemen sei es, Kopien der Daten in unterschiedlichem Umfang anzufertigen, je nach gewünschten Zugriffslevel. Von Zugriffssteuerung, Selektionen und Masken in Datenbanken haben diese Experten wohl entweder noch nie gehört oder sie glauben nicht, dass irgendjemand so etwas nutzt. Nicht das IBM einer der größten Datenbankhersteller der Welt ist... (da werden sich die IBM-Vertriebler freuen, wenn sie das angeblich entstehende Produkt genau den Kunden verkaufen sollen, die UDB einsetzen).
"MAGEN - a smarter way to secure data" tönt es denn auch vollmundig von der Webseite. Mich persönlich hat die neue Software spontan sprachlos gemacht - vor Entsetzen über so viel Weltfremdheit. Was diese Forscher "Sicherheit" nennen, ist jehnseits der Symptombehandlung. Hier werden keine Pflaster auf Wunden geklebt, hier wird das Licht ausgemacht, damit man die Wunde nicht mehr sehen kann. Inzwischen habe ich meine Sprachlosigkeit zumindest teilweise überwunden. Daher gibt es hier Liste einige "Einwände" im Bezug auf die neue Technologie - ein Teil einer sehr langen Liste.

Architektur
Die Sicherheitsarchitektur, von der diese Anwendung ausgeht, ist so unsinnig, dass es einem den Atem rauben kann. Und das gilt ganz besonders im Fall des als Beispiel angeführten Outsourcings. Das Callcenter in Indien erhält also erstmal alle sensiblen Daten und blendet sie dann in Teilen auf dem Bildschirm des Mitarbeiters wieder aus. Die Daten erst in unbefugte Hände zu geben und sie dann am letztmöglichen Punkt an einer Form der Anzeige zu hindern ist wohl kaum die Lösung.

Erkennungsgenauigkeit
Um es mal ganz pauschal zu sagen: keine Software kann zuverlässig automatisiert alle sensiblen Daten erkennen. Das hat weniger technische als systemische Gründe: "sensibel" ist eine Frage der Perspektive. Dazu kommt die Schwierigkeit, die Kreditkartennummer von der Telefonnummer zu unterschieden: Feldlabel stehen nicht immer neben dem Feld. Bei Volltextinformationen (wie z.B. der Krankengeschichte eines Versicherten) wird es sogar noch deutlich komplizierter, Freund und Feind zu unterscheiden.

Drucker & Co.
Damit die Daten tatsächlich geschützt bleiben, muss der Zugriff auf die Daten auf die Bildschirmausgabe limitiert werden. Die Software muss dazu sogar die Zwischenablage stilllegen, mit der man die Daten problemlos in eine Datei kopieren und an anderem Ort lesen könnte. Auch Drucker, PDF-Ersteller, Faxsoftware & Co. stellen Risiken dar. Kurz: der Arbeitplatz des Mitarbeiters muss komplett (virtuell) einzementiert werden. Das ist möglich, aber meist weit aufwändider als die vorherige Filterung der Daten oder das Setzen von Zugriffsrechten.

Nachollviehbarkeit
Bei einem solchen System muss die Frage gestellt werden, woher man eigentlich später noch weiss, welche Informationen ein Mitarbeiter gesehen hat. Eine Speicherung aller dargestellten Bildschirminhalte zu Protokollzwecken dürfte wohl aus Platzgründen ausfallen. Damit können die Verantwortlichen eine spätere Nachfrage, ob Herr X oder Frau Y Zugriff auf die Kreditkartennummer von Herrn Z hatten, nicht eindeutig beantworten.

Die Liste ließe sich noch beliebig fortsetzen. Am Ende ist die Sache aber ganz einfach: Datenschutz erreicht man nicht durch Tippex auf dem Bildschirm. Um Daten sicher zu verwalten, muss eindeutig geregelt sein, welche Person bzw. welches Unternehmen auf welche Daten Zugriff hat, wie diese zu nutzen sind und wie diese zu schützen sind.
Gerade beim Thema Callcenter ist dies von zentraler Bedeutung. Werden dem Callcenter die Daten tatsächlich übergeben, so müssen sinnvolle Verträge ausgearbeitet und Kontrollen durchgeführt werden. Erhalten die Callcenter-Mitarbeiter Fernzugriff auf die Daten im Kundenunternehmen, so müssen Zugriffsrechte genau definiert und technisch umgesetzt werden.

Mit genau diesem Thema beschäftige ich übrigens in meiner laufenden Artikelserie Value Chain Information Security.

(via golem.de) Via Michael Ritter´s Sicherheitsblog:  http://www.sicherheitsblog.info/blog/index.php?/archives/207-2009-07-13.html