Mehrseitige Sicherheit als integrale Eigenschaft von Kommunikationstechnik

Kolleg "Sicherheit in der Kommunikationstechnik" eingerichtet

Kai Rannenberg, Herbert Damker, Werner Langenheder, Günter Müller

1 Sicherheit in der Kommunikationstechnik
2 Ziele und Organisation des Kollegs
3 Erreichbarkeitsmanagement als illustrativer Problemausschnitt
4 Die Vorgehensweise in den nächsten Jahren

Dieser Text enthält zunächst eine Einführung in das Verständnis von Sicherheit, das der Arbeit des Kollegs zugrunde liegt (Kapitel 1). Danach folgt eine kurze Beschreibung der Ziele und der Organisation des Kollegs (2). Die in einigen Situationen widersprüchlichen Anforderungen an "Mehrseitige Sicherheit von Kommunikationstechnik" werden in Kapitel 3 am Problem der Erreichbarkeit von Kommunikationspartnern beispielhaft beleuchtet, bevor in Kapitel 4 ein Ausblick auf die Vorgehensweise in den nächsten Jahren gegeben wird.

1 Sicherheit in der Kommunikationstechnik

Sicherheit ist ein Begriff mit vielen Facetten, dessen Bedeutung sich mit dem jeweiligen Betrachtungswinkel ändert. Im Kolleg geht es eher um den Schutz vor absichtlichen Bedrohungen (engl. Security) als um den vor Unfällen (Safety). Im Vordergrund stehen die neueren Anforderungen an allgemein genutzte kommunikationstechnische Infrastrukturen, etwa Privatheit und Verbindlichkeit. Anders als in vielen älteren Sicherheitsansätzen soll dabei Sicherheit nicht nur einseitig oder vorwiegend die Hersteller und Betreiber von Kommunikationstechnik schützen; um allgemein und ohne kostspielige wie zeitraubende Konflikte akzeptiert zu werden, muß sie mehrseitig sein und auch und gerade den Nutzern dienen.

Ausgangspunkt der Arbeit sind sieben "Bausteine für Sicherheitskriterien", in denen die zu bearbeitenden Anforderungen mehrseitiger Sicherheit beschrieben werden. Einige dieser Anforderungen haben auch Eingang in neuere Normungsentwürfe zur Technikbewertung, etwa der "International Organisation for Standardisation" (ISO), gefunden:

• Vertraulichkeit (Zugriffskontrolle): Nicht alle Informationen, etwa die Daten zu einer medizinischen Behandlung, sollten beliebigen Personen zugänglich sein. Der Zugriff auf diese Informationen muß -- in enger Abstimmung mit denen, über die die Informationen etwas aussagen, idealerweise durch diese selbst -- kontrolliert werden können.
  
• Anonymität: Benutzer müssen die Möglichkeiten haben, auch ohne Preisgabe ihrer Identität Informationen und Beratung zu erhalten, analog zum anonymen Kauf einer Zeitung am Kiosk oder dem anonymen Anruf bei einem "Sorgentelefon".
  
• Pseudonymität: Wer anonymen Benutzern kostenpflichtige (Informations-) Dienste anbietet, muß imstande sein, auf sichere Weise zu seinen Einnahmen zu kommen, gegebenenfalls durch elektronische Substitute von Bargeld.
  
• Unbeobachtbarkeit: Eine "kommunikative" Handlung, etwa ein Telefonanruf, muß durchgeführt werden können, ohne daß Außenstehende (auch Netzbetreiber müssen gegebenenfalls als Außenstehende gelten) die Möglichkeit haben, davon zu erfahren.
  
• Unverkettbarkeit: Mehrere "kommunikative" Handlungen, etwa zwei Anrufe, dürfen nicht miteinander in Verbindung gebracht werden können, da auf diese Weise erstellte Informationssammlungen die Anonymität und Unbeobachtbarkeit gefährden können.
  
• Unabstreitbarkeit: Besonders bei kommerziellen Anwendungen sind unabstreitbare Nachweise wichtig, z.B. dafür, daß jemand eine bestimmte Nachricht, etwa Bestellungen oder Stornierungen, tatsächlich selbst verfaßt bzw. tatsächlich und fristgerecht erhalten hat. Entsprechend müssen Unterschriften von Personen oder Einschreibebriefe digital bzw. elektronisch nachgebildet werden.
  
• Übertragungsintegrität: Übertragene Daten müssen unmanipuliert bei ihren Empfängern ankommen. Besonders wichtig sind dabei der Schutz vor teilweisen Manipulationen, etwa der Mengenangaben in einer Bestellung, und der Schutz vor der Aufzeichnung und erneuten Versendung einer Nachricht, etwa einer Bestellung, durch Dritte.
  

Als Anwendungsbereich für die Arbeit des Kollegs wurde das Gesundheitswesen gewählt. Einerseits liegen Bedeutung und Sensitivität der hier übertragenen und verarbeiteten Daten auf der Hand; andererseits stellen viele voneinander unabhängiger Akteure mit verschiedenen Interessen hohe Anforderungen an die Sicherheit und Vertrauenswürdigkeit der verwendeten Technik. Zunächst wurden acht Akteure (Patient, Arztpraxis, Rettungsdienst, Krankenhaus, Beratungsstelle, Versicherung, Dienstanbieter und Netzbetreiber) ausgewählt, um davon ausgehend im Laufe des Kollegs ein erweitertes Bild der Kommunikation im Gesundheitswesen zu gewinnen.

2 Ziele und Organisation des Kollegs

Während der technische Fortschritt stark durch wirtschaftliche Faktoren bestimmt wird, ist der gesellschaftliche Fortschritt ein Ergebnis der Ausbalancierung gesellschaftlicher Kräfte. Drei Leitgedanken bestimmen deshalb die Arbeit des Kollegs:

(1)

Fortschritte auf dem Gebiet "Sicherheit in der Kommunikationstechnik" sind nur durch eine disziplinenübergreifende Zusammenarbeit erreichbar, denn Sicherheit im umfassenden Sinne kann nicht durch technischen Fortschritt allein erreicht werden.

(2)

Für das technisch nicht vollständig erfaßbare Umfeld müssen gesetzliche und gesellschaftliche Übereinkommen greifen.

(3)

Ein Technikmoratorium im Bereich der persönlichen Sicherheit ignoriert die technische Entwicklung im Weltmaßstab, ebenso wie eine reine Technikorientierung den zivilisatorischen Konsens aufkündigen und damit die Zukunft der Gesellschaft (etwa durch Vorentscheidungen und nachfolgende Sachzwänge) gefährden kann.

Das Kolleg will das Bewußtsein für die interdisziplinäre Aufgabe "Sicherheit" wecken und die Benutzungsanforderungen in systematischer Weise erheben. Eine frühzeitige Konfrontation dieser Anforderungen mit der technischen Realität und die Umsetzung der dabei gesammelten Erkenntnisse können Akzeptanz wie Akzeptabilität neuer Kommunikationssysteme fördern. Möglicherweise kann auch eine Grundlage für staatliche Regulierungsmaßnahmen entstehen und die technische wie soziale Kompetenz der Beteiligten wachsen. Als Kombination aus konstruktivem und analytischem Vorgehen werden zwei Aufgabenfelder in eigenen Arbeitsgruppen detaillierter untersucht und in gemeinsamen Plenumssitzungen diskutiert:

(1)

Die experimentelle Realisierung mehrseitig sicherer Kommunikationstechnik in Kooperation mit industriellen Herstellern und Anwendern (Aufgabenfeld 1 "Technikgestaltung": Sprecher Prof. Dr. Eckart Raubold, DBP Telekom und Prof. Dr. Günter Müller, Universität Freiburg).

(2)

Die Erhebung von Anforderungen unterschiedlicher gesellschaftlicher Gruppen und Rollenträger an die Sicherheit der Kommunikationstechnik (Aufgabenfeld 2 "Erhebung der Nutzeranforderungen": Sprecher Prof. Dr. Kurt Stapf, Universität Tübingen, und Dr. Werner Langenheder, GMD).

Wichtig ist die arbeitsgruppenübergreifende Zusammenarbeit. Deswegen hat eine Koordinierungsgruppe die Aufgabe, den Fortschritt der Arbeit zu begutachten, Anregungen zu geben und vor allem aktiv die Verbindung zwischen den technischen und den sozialwissenschaftlichen Denk- und Arbeitsansätzen zu schaffen. Die Arbeitsgruppensprecher berichten ihr, so daß sie die strategische und praktische Ausrichtung des Kollegs bestimmen kann.

Ein Beirat berät bei der strategischen Ausrichtung des Kollegs und unterstützt den Ergebnistransfer. Seine Aufgabe ist es sicherzustellen, daß die vielen technischen und vor allem nichttechnischen Facetten des Themas angesprochen und transparent gemacht werden.

3 Erreichbarkeitsmanagement als illustrativer Problemausschnitt

Akteure im Bereich Gesundheitswesen sind u.a. Ärzte im Krankenhaus, niedergelassene Ärzte, Mitarbeiter der Rettungsdienste und nicht zuletzt Patienten. Durch die Entwicklung und Verbreitung neuer Telekommunikationsdienste (Fax, Mobiltelefon, Bündelfunk, Pager, ...) sind diese Akteure technisch immer besser erreichbar. Andererseits befinden sie sich oft in Rollen mit knappen Zeitbudgets und werden durch viele Anrufe gestört. Das Sekretariat als klassische Form des Erreichbarkeitsmanagements steht nicht allen Akteuren zur Verfügung bzw. wird den neuen Diensten (mobile Geräte) nicht gerecht. Deswegen erscheint hier eine technische Unterstützung mit Hilfe eines Erreichbarkeitsmanagementsystems (EMS) sinnvoll.

Gleichzeitig ist "Erreichbarkeitsmanagement" als Ausschnitt der Probleme bei der Nutzung neuer, speziell mobiler Kommunikationstechnik gut geeignet, weil sich daran viele Probleme des Spannungsfeldes "Mehrseitige Sicherheit" auch ohne besondere Kenntnis der Technik veranschaulichen lassen. Die folgenden drei Beispiele illustrieren, welche Facetten von Sicherheit in welchen Situationen wichtig sein können:

(1)

Eine Ärztin in nächtlicher Rufbereitschaft wird Anrufe, die sie vor einer möglicherweise anstrengenden Aufgabe im Schlaf stören, nur selektiv durchlassen wollen: sie will nur für den Notdienst erreichbar sein, außerdem eventuell für die nahen Verwandten oder Freunde, für die sie auch nachts aufstehen würde. Möglicherweise wird sie sich vor belästigenden Anrufen schützen wollen. Entsprechend wird ihr Erreichbarkeitsmanager die Identität oder die Funktion der Anrufer erfragen, bevor er die "Klingel" des Telefons auslöst. Um der Ärztin Mittel zu geben, sich vor Übermittlungsfehlern und vor Anrufern, die eine falsche Identität vortäuschen, zu schützen, müssen die Übertragungsintegrität und die Unabstreitbarkeit von Anrufen gesichert werden. In ähnlicher Weise ergeben sich diese Anforderungen, wenn ein Autofahrer nach einem Unfall in der Notrufzentrale um Hilfe anruft und seinen Unfallort angibt, damit ihn der Rettungswagen schneller erreicht.

(2)

Den Mitarbeitern einer telefonischen Beratungsstelle, die zu bestimmten Zeiten Hochkonjunktur hat, kann ein Erreichbarkeitsmanagementsystem helfen, ihre Arbeit einzuteilen. Gerade die Klienten einer Beratungsstelle zu gesellschaftlich tabuisierten Problemen, etwa AIDS, Alkoholismus, Geschlechtskrankheiten oder Verschuldung, möchten jedoch meist anonym bleiben; oft ist diese Anonymität sogar eine Voraussetzung für eine offene und qualitativ hochwertige Beratung. Entsprechend muß ein Erreichbarkeitsmanagementsystem sicherstellen, daß den Klienten eine anonyme Kontaktaufnahme möglich ist. Daß tatsächlich keine Identitätsinformation fließt, muß den Klienten garantiert und glaubwürdig plausibel gemacht werden. Falls die Beratung zwar anonym, aber nicht kostenfrei erfolgen kann oder falls ein dringender Fall in der Schlange wartender Anrufe Vorrang bekommen soll, müssen auch Vorkehrungen für Anrufe unter Pseudonym geschaffen werden.

(3)

Die Prioritäten, die eine Privatperson möglichen Anrufern zuteilt, sind ihre Privatsache und sollen im allgemeinen nicht nach außen dringen. Aus diesem Grund ist für Vertraulichkeit (Kontrolle des Lesezugriffs) zu sorgen. Auch Veränderungen, etwa die Eintragung und Streichung von Personen oder ein Wechsel der ihnen zugeordneten Prioritäten, können viel über die Lebensumstände von Personen aussagen. Um diese Informationen zu schützen, sind Unbeobachtbarkeit und Unverkettbarkeit der Vorgänge zur Konfiguration des Erreichbarkeitsmanagementsystems nötig.

In vielen Fällen widersprechen sich die Anforderungen der an einer Kommunikationsbeziehung beteiligten Partner zumindest teilweise. Dann soll das EMS für einen Ausgleich sorgen oder den Beteiligten die Möglichkeit geben, selbst einen ihnen angenehmen Kompromiß auszuhandeln.

4 Die Vorgehensweise in den nächsten Jahren

Da das Erreichbarkeitsmanagementsystem (EMS) dem Kolleg als Projektintegrator und als Demonstrator für mehrseitige Sicherheit dient, werden seine Funktionen, seine Sicherheitsaspekte und seine Gestaltung Gegenstand kontinuierlicher Diskussion und Veränderung sein. Dies als einen ständigen Rückkopplungsprozeß zwischen den Arbeitsgruppen 1 und 2 und ihren Einzelprojekten zu organisieren, ist neben der inhaltlichen Arbeit bei der Gestaltung des EMS die Hauptaufgabe des Freiburger Projektteams.

Szenarien typischer und künftiger Nutzung von Kommunikationstechnik sollen die Anforderungen im Gesundheitswesen aufzeigen und zwischen den Arbeitsgruppen diskutiert werden sowie die Technikgestaltung beeinflussen. Gleichzeitig werden in der AG 1 erste Gestaltungsoptionen für das EMS erarbeitet und auf ihre technische Realisierbarkeit hin untersucht. In der AG 2 werden zunächst potentielle Nutzer, Anbieter und Betreiber von Telekommunikation aus psychologischer Sicht nach ihren Auffassungen und Einschätzungen von Sicherheit befragt.

Die Gestaltungsoptionen für das EMS werden aufgrund von Ergebnissen der AG 2 sowie entsprechend den Szenarien aus dem Anwendungsbereich Gesundheitswesen und den technischen Realisierungsmöglichkeiten erweitert und einer Auswahl unterzogen. Ein wichtiger Einflußfaktor bei dieser Überarbeitung wird die Abbildung der Ziele mehrseitiger Sicherheit auf die Funktionen des Erreichbarkeitsmanagements sein.

Die Ergebnisse dieser Auswahl werden in Freiburg in eine erste Darstellung der Benutzungsoberfläche des Erreichbarkeitsmanagers (EM) umgesetzt. Angestrebt ist dabei eine prototypische Realisierung der Oberfläche auf der Basis der gewählten Gerätekonfiguration für den Demonstrator. Diese soll Mitte 1995 für die weitere Diskussion zur Verfügung stehen und den Mitgliedern der AG 2 die Vorstellungen der AG 1 veranschaulichen.

Nach einer weiteren Konkretisierung aufgrund der Diskussion des Prototyps der Benutzungsoberfläche beginnt die AG 1 die Realisierung einer ersten Version des Demonstrators, die im Oktober 1996 abgeschlossen sein soll. Diese Realisierung hat zu berücksichtigen, daß zur Erprobung verschiedener Varianten und zur Umsetzung der Erfahrungen mit den ersten Versionen speziell die Auswahl der Sicherheitsfunktionen flexibel änderbar sein muß.

Aus der ersten Version und ihrer Diskussion innerhalb des Kollegs wird eine überarbeitete Version des Demonstrators resultieren, die auf der CeBIT `97 präsentiert werden soll. Die Koordination von technischen Vorführungen -- z.B. im Rahmen des Kollegs und auf der CeBIT -- gehört ebenfalls zu den Aufgaben des Freiburger Teams. Eine weitere Aufgabe besteht in der Betreuung des Demonstrators für die im Rahmen der AG 2 geplanten Studien.

Parallel zur Erstellung des Demonstrators für das EMS wird die AG 1 untersuchen, ob und welche Änderungen bei Kommunikationsdiensten und Basisnetzen nötig sind, um auch auf dieser Ebene das informationelle Selbstbestimmungsrecht der Teilnehmer bezüglich ihrer Kommunikationsdaten zu wahren. Beispielsweise werden Netztopologien und Protokolle zur datensparsamen Adressierung von Teilnehmern untersucht. Wichtige Fragen sind dabei die notwendige Bandbreite und die Leistungsfähigkeit, die u.a. mit Methoden der rechnergestützten Simulation ermittelt werden sollen.

Zwischenergebnisse des Kollegs sollen der Fachöffentlichkeit in Workshops und Publikationen bekannt gemacht werden. Geplant ist u.a. ein Sammelband unter dem vorläufigen Arbeitstitel "Mehrseitige Sicherheit -- eine Voraussetzung technischen Fortschritts?" Über Anregungen und Kooperationen freut sich das Kolleg. Für weitere Informationen sind Prof. Dr. Günter Müller, Herbert Damker und Kai Rannenberg unter folgenden Adressen erreichbar:

Abteilung Telematik
Institut für Informatik und Gesellschaft
Universität Freiburg
Friedrichstraße 50
D-79098 Freiburg

Telefon: 0761-203-4964 / -4931 / -4926
Telefax: 0761-203-4929
E-Mail: kolleg@iig.uni-freiburg.de