Informationsmaterial zum Datenschutz
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

Informationssicherheit für Multimedia Collaboration

Dr. Wolfgang Klasen

1 Einführung

Die aktuellen Entwicklungen in der Telekommunikation sind gekennzeichnet durch eine zunehmende Integration verschiedener Netztechnologien wie etwa Telefon- und Computernetze und Medien wie Text, Graphik, Audio und Video. Dabei ist die Gewährleistung von Informationssicherheit ("IT-Sicherheit", "Security") sowohl für die Anbieter von Telekommunikationsdiensten oder Netzen, als auch für den Kunden ein wichtiges Qualitätsmerkmal. Unter IT-Sicherheit verstehen wir in diesem Kontext den Schutz gegen absichtliche Angriffe, die verarbeitete Informationswerte bedrohen. Abhängig von der Rolle innerhalb einer bestimmten Kommunikations- und Dienstleistungsbeziehung stehen dabei verschiedene Sicherheitsbedürfnisse im Vordergrund. So ist es zum Beispiel für den Anbieter eines Telekommunikationsdienstes von Interesse, daß der Dienst nur durch Berechtigte benutzt und diese Benutzung nachprüfbar belegt und abgerechnet werden kann. Für den Kunden zählt ebenfalls die korrekte Abrechnung; zusätzlich stellen die Aspekte Datenschutz und Verläßlichkeit im Sinne von Vertraulichkeit und Integrität ein vitales Interesse dar, d. h. der Dienst soll genau die vorgegebenen Aktionen ausführen und keine anderen oder zusätzlichen.

Das Querschnittsthema "IT-Sicherheit" spielt in den meisten Ausprägungen von Multimediaanwendungen eine wichtige Rolle. Dabei sind Mechanismen und Funktionen zur Informationssicherheit ein wesentliches Werkzeug zur technischen Durchsetzung von Datenschutzbelangen und bilden damit eine Voraussetzung für die Funktionsfähigkeit der Informationsgesellschaft. Oft ist die Bereitstellung bestimmter Sicherheitsdienste sogar eine Voraussetzung für den erfolgreichen kommerziellen Einsatz von Multimediaanwendungen, wie etwa die Forderung nach einer effizienten und betrugssicheren Abrechnung von Video on Demand-Diensten (VoD) zeigt.

In verschiedenen Standardisierungsgremien werden seit geraumer Zeit allgemeingültige Klassifikationsregeln und Bewertungskriterien für den Einsatz (kryptographischer) Sicherheitsfunktionen in der Informationstechnik erarbeitet. Das Ziel ist sowohl die Gewährleistung sicherer Interoperabilität (ISO OSI) als auch eine funktionale und qualitative Überprüfbarkeit der eingesetzten Sicherheitsdienste (ITSEC). Prinzipiell kann lediglich ein relativer Schutz gegen Bedrohungen der Informationssicherheit eingebracht werden, 100%ige Sicherheit ist nicht realisierbar. Im Rahmen einer Risikoanalyse werden dazu Aufwand und Nutzen von Sicherheitsmaßnahmen gegenübergestellt und die Erfordernisse identifiziert. Dabei muß für einen potentiellen Angreifer der Aufwand für eine Attacke stets weitaus höher sein als der erwartete Nutzen.

Seitenanfang

2 Anforderungen an MM-Sicherheit (Überblick)

Durch das Zusammenwirken verschiedener Übertragungsmedien und Darstellungstechniken werden komplexe Anforderungen an die Sicherheitsarchitekturen gestellt, deren Lösungen jedoch in vielen Fällen aus bereits bekannten Basisfunktionen generiert werden können. So geht die digitale Integration einer Vielzahl von Dienstangeboten in Telekommunikationsnetzen mit der zügigen Standardisierung kryptographisch unterstützter Abrechnungs- und Zugriffskontrolldienste einher (DAVIC, DVB, . . .). Bedarf an neuen Sicherheitskonzepten entsteht zum Beispiel im Rahmen computerunterstützter kooperativer Arbeit (CSCW): beim gemeinsamen Benutzen traditioneller Anwendungen können hier lokal existierende Schutzmechanismen außer Kraft gesetzt werden, da die Aktionen einzelner Konferenzteilnehmer nicht mehr individuell zugeordnet werden können.

Unter dem Aspekt der Integration in Multimediaanwendungen ergeben sich einige typische Anforderungen an Funktionen für Informationssicherheit:

Multimedia-Sicherheitsdienste

  • Authentifikations- und Abrechnungsdienste:

Wie bei allen Value-Added-Services ist auch bei Multimediadiensten zu Abrechnungszwecken eine Zugriffskontrolle und dadurch auch eine Benutzerauthentifikation notwendig. Im Rahmen von Broadcast-Multimediadiensten wie Video on Demand werden neue Konzepte federführend entwickelt und eingesetzt. Andere wichtige Anwendungsfelder für eine sichere Gebührenerfassung sind Multimedia-Datenbanken und -Archive.

  • Performante kryptographische Mechanismen und Algorithmen:

Insbesondere bei synchronen Anwendungen erfordert der hohe Datendurchsatz eine performante Realisierung kryptographischer Verfahren. So benötigt eine sichere Breitbandkommunikation hochperformante Hardware zur schnellen Verschlüsselung, bei einigen Anwendungen ist zusätzlich die Fähigkeit zum häufigen Schlüsselwechsel erforderlich ("key-agility"). Für Softwarelösungen werden geeignete Kompromisse zwischen der zu erzielenden Sicherheit und dem geforderten Durchsatz angestrebt. Zum Beispiel wird untersucht, in welchen Fällen eine Teilverschlüsselung von Audio-Video-Daten ausreicht.

  • Copyright Protection:

Viele Multimediaanwendungen erfordern neue Konzepte und Mechanismen für die Wahrung von Urheberrechten. Ein Beispiel dafür ist der Schutz von auf CD-ROM gespeicherten Informationen (Software, Verlagspublikationen, . . .) gegen Mißbrauch und Kopierbetrug. Hier können kryptographisch unterstützte Freischaltungsmechanismen angewendet werden. Die leichte Wiederverwertbarkeit digitaler Dokumente macht zusätzliche Mechanismen erforderlich. So sind in MM-Datenbanken oder auf CD-ROMs digitalisierte Einzeldokumente schnell zugänglich und können leicht weiterverarbeitet werden. Die Identität des ursprünglichen Dokumentenherausgebers muß daher "möglichst untrennbar" mit dem ursprünglichen Dokument verbunden werden, um später finanzielle Forderungen rechtlich durchsetzen zu können ("Digitales Wasserzeichen").

  • Digitale Signaturen in Multimediaanwendungen:

Digitale Signaturen spielen eine zentrale Rolle für die Bereitstellung sicherer und verläßlicher Dienste. Sie garantieren den Schutz vor unbemerkter Manipulation beim Datentransport und sind häufig wichtiger Bestandteil "kryptographisch sicherer" Produkte. Es existieren verschiedene, teilweise bereits standardisierte kryptographische Mechanismen zur Realisierung einer digitalen Signatur. (Als Beispiel für ein Softwareprodukt zur Realisierung verbindlicher Datenkommunikation unter MS-Windows sei SICRYPTX R SIDEX von SNI genannt.)

  • Gruppenbasierte Sicherheitsarchitekturen:

Die traditionelle Punkt-zu-Punkt-Kommunikation wird durch allgemeinere gruppenbasierte Modelle abgelöst; dadurch werden neben einem "sicheren Multicasting" Erweiterungen von Managementfunktionen erforderlich. Zu nennen sind hier die gruppenbasierte Authentifikation und Zugangskontrolle oder die Notwendigkeit eines gruppenorientierten Key-Managements.

  • Hierarchische Zugriffskontrolle:

Zugriffskontrollmechanismen müssen skalierbar und abgestuft eingesetzt werden können. So ist es zum Beispiel bei Audio-Video-Verteildiensten erwünscht, potentiellen Benutzern einen zeitlich oder qualitativ begrenzten Zugang zum Produkt zu ermöglichen, um so "Appetit" auf diese Leistungen zu erzeugen. Diese Anforderungen können durch den Einsatz neuer digitaler Kryptomechanismen oder durch organisatorische Maßnahmen erfüllt werden.

  • Key-Management Infrastruktur / Zertifizierungs- und Directory-Dienste:

Kryptographische Sicherheitsfunktionen für Kommunikationsanwendungen stützen sich auf die (gelegentliche) Verteilung von Zertifikaten und geheimen Schlüsseln ("Key-Management"). Die Schaffung einer unterstützenden Infrastruktur garantiert den Anwendern einen leichten Zugang zum erforderlichen Adress- und Schlüsselmaterial. Entsprechende Vorarbeiten sind von Standardisierungsgremien wie ITU, ISO oder ETSI bereits geleistet (z. B. X.509-Authentifikationsstandard). Wer in welchen Ländern Zertifizierungs- und Directory-Dienste bereitstellen wird ist noch unklar.

Für die produktmäßige Integration von Informationssicherheit in Multimediaanwendungen und Kommunikationsdienste gelten einige wichtige Randbedingungen:

Integrationsaufgaben

  • Benutzerfreundlichkeit:

Sicherheitsfunktionen sollen möglichst wenige und übersichtliche Benutzeraktionen erfordern; sie müssen auch für Laien anwendbar sein; nur durch hohe Bediensicherheit und Durchschaubarkeit der Aktionen (z. B. beim Anwenden einer digitalen Signatur) kann die erforderliche Benutzerakzeptanz erreicht werden;

  • Konsistentes Sicherheitsniveau:

Kommunikation zwischen unterschiedlichen Sicherheitsdomänen muß möglich sein; ebenso ist ein sicheres Interworking verschiedender Anwendungen und Dienste zu gewährleisten; die Beherrschbarkeit unterschiedlicher Kommunikationsplattformen ist sicherzustellen;

  • Skalierbarkeit und Wirtschaftlichkeit:

Die Lösungen müssen differenzierten Sicherheitsanforderungen genügen und in preiswerten, auf den Bedarf des Kunden abgestimmten Modulen angeboten werden; eine Verwendung von möglichst generischen Mechanismen ist anzustreben um eine vielseitige Einsetzbarkeit zu erreichen.

Sicherheitsniveau

Die Güte eines Sicherheitsdienstes, die dem Benutzer einer Multimediaanwendung zur Verfügung steht, wird prinzipiell von der schwächsten Einzelkomponente bestimmt, die an der Diensteerbringung beteiligt ist, d. h. von der Stelle, die nach dem "Prinzip des schwächsten Gliedes einer Kette" von einem potentiellen Angreifer am ehesten überwunden werden kann. Um das dem Benutzer verfügbare Sicherheitsniveau einer komplexen Multimediaanwendung festlegen zu können, müssen sowohl die verschiedenen funktionalen Einzelkomponenten als auch deren Zusammenwirken analysiert werden. Den identifizierten Bedrohungen der Informationssicherheit werden dann Sicherheitsmaßnahmen gegenübergestellt, die in ihrer Gesamtheit eine Sicherheitsarchitektur definieren. In den deutschen IT-Sicherheitskriterien wurden für die Stärke von Sicherheitsmaßnahmen im Sinne ihrer Überwindbarkeit fünf verschiedene Stufen definiert [1]:

Schutzmaßnahmen der Stufe "nicht überwindbar" sind extrem wirksam gegen gezielte Angriffe und mit den zur Zeit vorhandenen Methoden nicht zu brechen. "Sehr starke" Maßnahmen sind sehr gut wirksam gegen gezielte Angriffe und nur mit sehr hohem Aufwand zu brechen.

"Starke" Maßnahmen sind gut wirksam gegen gezielte Angriffe und mit hohem Aufwand zu brechen. "Mittelstarke" Maßnahmen sind wirksam gegen gezielte Angriffe und mit mittelhohem Aufwand zu brechen. "Schwache" Maßnahmen sind lediglich wirksam gegen unbeabsichtigte Verstöße, nicht aber gegen gezielte Angriffe.

Wenn man davon ausgeht, daß in Zukunft die Attraktivität von Angriffen gegen die Informationssicherheit mit kriminellem Hintergrund steigen wird, und wenn man den rasanten Anstieg der allgemein verfügbaren Rechnerleistung in Betracht zieht, dann hat die Wirkung einer "starken" Maßnahme sicherlich nur zeitlich begrenzten Charakter. Eine tragfähige Sicherheitsarchitektur für Multimediadienste und -anwendungen muß also mindestens durch "sehr starke" Maßnahmen geprägt sein. Die Realisierung "sehr starker" und "nicht überwindbarer" Maßnahmen kann durch kryptographische Verfahren mit entsprechend langer "Lebensdauer" erfolgen. Für den "Multimedia Collaboration Teledienst" der DeTeBerkom wird bei Siemens eine nach diesen Prinzipien gestaltete Sicherheitsarchitektur entworfen die im folgenden kurz erläutert werden soll.

3 Das Beispiel "Sicherheit für Multimedia Collaboration - MMCSec"

Unter "Multimedia Collaboration" - kurz MMC - versteht man die informationstechnische Unterstützung verteilter Arbeitsgruppen unter Einbeziehung von Audio-, Video- und Datenkommunikation. Die Kommunikation findet dabei "synchron" statt, d. h. es geht um gleichzeitiges Arbeiten an verschiedenen Orten. Die zusammenarbeitenden Personen haben dabei die Möglichkeit, im Rahmen einer Videokonferenz auf eine Rechneranwendung gemeinsam zuzugreifen, um so zum Beispiel einen Bericht zu erstellen, einen Konstruktionsplan zu bearbeiten oder Kalkulationen durchzuführen.

Die Vorteile dieser Systeme liegen zum einen in der Ersparnis von Zeit und Reisekosten, zum anderen befindet sich jedes Konferenzmitglied in seiner gewohnten Arbeitsumgebung mit dem entsprechenden Zugriff auf die eigenen Ressourcen.

Einzelne Anforderungen an die Informationssicherheit von MMC-Systemen ergeben sich zwangsläufig, wenn man die üblichen "Regeln" einer klassischen Besprechungssituation analysiert und anschließend im virtuellen, elektronisch realisierten Sitzungsraum die gewohnten Kontrollmechanismen durch technische Funktionen ersetzt. So muß der vertrauliche Charakter eines geschlossenen Besprechungszimmers innerhalb einer verteilten Multimediaanwendung durch Mechanismen für Zugangskontrolle und Verschlüsselung nachgebildet werden. Dabei können kryptographische Integritätsmechanismen die Korrektheit und Authentizität von Adressinformationen und Daten garantieren. Es können so Angriffe abgewehrt werden, die durch gezieltes Vortäuschen einer falschen Identität (z. B. Absenderadresse) nichtkryptographische Sicherheitsmechanismen überwinden oder etwa unbemerkt auf der Übertragungsstrecke digitalisierte Nachrichteninhalte ändern.

Durch die unterschiedliche Rollenzuweisung der Teilnehmer einer Konferenz können sogenannte "Insiderbedrohungen" entstehen: zum Beispiel hat der Besitzer einer Applikation, die mit den anderen Partnern geteilt wird, ein vitales Interesse daran, daß er den Zugriff seiner Kommunikationspartner auf seine eigenen Systemressourcen, die über die geteilte Applikation erfolgen könnte, kontrollieren kann. Sind mehr als zwei "Endsysteme" an einer Multimediakonferenz beteiligt, dann können durch die unterschiedlichen Möglichkeiten von Rollenzuweisungen innerhalb der Konferenz Interessengruppen entstehen, deren Zusammensetzung zeitlich variabel sein kann: Beispiele für Rollen innerhalb einer Konferenz sind:

Reguläres Konferenzmitglied, Konferenzadministrator, Initiator einer Konferenz/ Sitzung, Besitzer der geteilten Applikation, Gast, Third Party bzw. Trusted Third Party.

Insiderbedrohungen können durch dynamische, kryptographisch unterstützte Zugangskontrollmechanismen wirksam begegnet werden, wobei die verschiedenen Interessengruppen mit Hilfe des Key-Managements wirksam separiert werden müssen.

Basierend auf einer Bedrohungsanalyse wurde für den Berkom Multimedia-Collaboration- Service eine generische Sicherheitsarchitektur entwickelt. Durch die angedachte Dienstegranularität können MMC-Kontrollprotokolle, Shared Applications und Audio-Video- Daten je nach erforderlicher Sicherheitspolitik differenziert gegen Bedrohungen geschützt werden. Die Sicherheitsdienste sollen bezogen auf eine Benutzergruppe fest vorgewählt, beim Aufbau der Gruppenbeziehung ausgehandelt oder innerhalb einer Sitzung vom Benutzer in Abstimmung mit den Kommunikationspartnern dynamisch konfiguriert werden können. Dabei berücksichtigen das Key-Management und die Sicherheitsdienste die speziellen Erfordernisse der Gruppenkommunikation wie "Insiderbedrohungen", "Gruppenbasierte Authentifikation", "Sicheres Multicasting" und anderes mehr.

Die Systemarchitektur faßt sicherheitsspezifische Protokoll- und Datenelemente wie etwa Kryptoalgorithmen und Key-Management zu einem universellen Sicherheitssubsystem zusammen. Bei Siemens ZFE wird dieses Sicherheitssubsystem als hardwarebasierter Sicherheitsserver implementiert. Einerseits können somit hochperformante Verschlüsselungsdienste für sensible Datenströme unterstützt werden, andererseits wird eine auf Krypto-Hardware basierte Kontrolle über das Key-Management und die damit verbundenen Sicherheitsdienste realisiert.

4 Ausblick

Kooperative Multimediaanwendungen erfordern zunehmend komplexere Konzepte zur Kommunikationssicherheit. Im Handel erhältliche Produkte beschränken sich meist auf die Unterstützung von Punkt-zu-Punkt-Kommunikation, d. h. sind für die Kommunikation zwischen zwei Partnern ausgelegt, und weisen oft keine ausreichenden Sicherheitsfunktionen auf. Für die allernächste Zukunft ist die Etablierung von Standardwerkzeugen für computergestützte Gruppenarbeit in heterogenen Netzen zu erwarten. Hier entstehen durch die verteilte Systemarchitektur im besonderen Maße Gefahren für die Vertraulichkeit und Integrität der Daten sowie für die Verfügbarkeit der angeschlossenen Systeme. Durch kryptographische Sicherheitsfunktionen können diese Gefahren abgewehrt und kooperierende Systeme und Netze geschützt werden. Neben umfassenden Authentifikations- und Zugangskontrollmechanismen werden dabei sichere und schnelle Übertragungsmechanismen für Text-, Graphik-, Audio- und Videoinformation zum Einsatz kommen.

Die rasche Integration von Sicherheitsdiensten als Standardfunktionalität in Kommunikationsanwendungen erfordert eine umfassende Infrastruktur für Key-Management und Zertifizierung. Auch hier entscheidet nicht zuletzt der Kunde: durch sein gestiegenes Sicherheitsbewußtsein sind gute Voraussetzungen für die Akzeptanz sicherer Lösungen gegeben.

1 vgl. "IT Sicherheitskriterien", Zentralstelle für Sicherheit in der Informationstechnik, Bonn 1989

Als Anlage die Folien des Vortrags:

Folie 1
Folie 2
Folie 3
Folie 4
Folie 5
Folie 6
Folie 7
Folie 8
Folie 9
Folie 10
Folie 11
Folie 12
Folie 13
Folie 14
Folie 15
Folie 16
Folie 17

Zuletzt geΣndert:
am 08.02.97

mail to webmaster