Was ist Sicherheit?

Die üblichen Definitionen der Computer-Sicherheit unterteilen den Begriff ``Sicherheit'' im allgemeinen in die folgenden Unterpunkte, die in einem sicheren System erfüllt sein müssen[Gar96][Os96]:

• Vertraulichkeit (Confidentiality):
  Informationen dürfen nicht in die Hände Unbefugter gelangen.

• Datenintegrität (Data integrity):
  Daten und Informationen dürfen nicht ohne Zustimmung des Besitzers geändert oder gelöscht werden.

• Verwantwortlichkeit (Accountability):
  Zu jeder getätigten Aktion muß es einen Verantwortlichen geben, der für die Folgen belangt werden kann. Ein für kommerzielle Systeme wichtiger Spezialfall ist die Unwiderlegbarkeit (Non-Repudiation), d.h. das Stattfinden eines Vorgangs muß bewiesen werden können.
• Verfügbarkeit (Availability):
  Daten und Informationen müssen autorisierten Benutzern jederzeit zugänglich sein. Aktionen, die dies unterbinden, werden als ``Denial of Service''-Angriffe bezeichnet.

Während die letzten beiden Punkte dieser Aufzählung eher technische Problemstellungen sind, beziehen sie die beiden ersten Punkte auf die zentrale Frage ``Wer darf was?''. Ein sicheres System erkennt man demzufolge im Gegensatz zu einem offenen System daran, daß der Grundsatz hier nicht ``erlaubt ist, was nicht ausdrücklich verboten ist'' lautet, sondern ``verboten ist, was nicht ausdrücklich erlaubt ist''. In dem speziellen Fall des Zugriff auf spezielle Ressourcen werden dabei die Regeln, was wem erlaubt ist, häufig in sogenannten ``Access Control Lists'' (ACLs) festgehalten. Eine solche werden wir später noch in einem Beispiel behandeln.