Layer 8
Layer 8 ist eine informelle Erweiterung des OSI-Modells, die den technischen Rahmen verlässt und den Menschen als weiteren Faktor in die Betrachtung der Netzkommunikation einbezieht. Sie wird und wurde ursprünglich humoristisch genutzt, beispielsweise im Internet-RFC 2321,[1] das 1998 als Aprilscherz veröffentlicht wurde oder als dezenter Hinweis, dass die Ursache eines Netz- oder Computerproblems nicht in der Technik, sondern einer fehlerhaften oder unsachgemäßen Bedienung zu suchen ist.
Ernsthafte Layer-8-Notation
Das OSI-Modell der internationalen Standardisierungsorganisation ISO stellt ein abstraktes, generisches Modell der Kommunikation zwischen vernetzten Systemen dar. Es teilt das Netz in sieben hierarchisch strukturierte Ebenen (englisch: Layer) auf, die von der physischen Verbindung bis zur Anwendungsschicht reichen, die mit dem Nutzer interagiert.
Die Layer-8-Notation ist ernsthaft und sinnvoll, wenn es zum Beispiel um die Computer- und Netzsicherheit geht, denn Angriffsvektoren wie Social-Engineering setzen am Layer 8, der Benutzerschicht an. In diesem Zusammenhang nutzen der Kryptoexperte Bruce Schneier und die Netzsicherheitsfirma RSA[2] den Begriff. In einem Kommentar im RSA-Blog vom 7. Dezember 2010[3] erweiterte der Gastautor Ian Farquhar das Netzmodell um Layer 8 und noch zwei weitere Layer.
Das gesamte erweiterte OSI-Modell sieht dann wie folgt aus:
- Layer 8: das Individuum (Human Layer)
- Layer 9: die Organisation (Organization Layer)
- Layer 10: der Staat (Legal and External Compliance Layer)
Die sieben Schichten des OSI-Modells bauen hierarchisch aufeinander auf, wobei jede Ebene ausschließlich mit den direkt angrenzenden Ebenen interagiert. In praktischen Anwendungen müssen sich die einzelnen Schichten nicht unbedingt in einer entsprechenden, konkreten Untergliederung wiederfinden und es können auch Funktionen aus einer Schicht auf unterschiedliche Einheiten aufgeteilt sein. Ein prominentes Beispiel hierfür ist das TCP/IP-Modell des Internets. Dieses ist in vier Schichten aufgeteilt, deren Grenzen zum Teil innerhalb einer OSI-Ebene liegen. Trotzdem lässt sich auch die Netz-Kommunikation im Internet sinnvoll am OSI-Modell diskutieren. Es wurde ganz allgemein für diesen Zweck entwickelt und nicht als Basis für konkrete Netzprotokolle. Die Erweiterung um den Layer 8, die Benutzerschicht und gegebenenfalls weitere, darüber liegende politische Ebenen, ist daher zweckmäßig und angebracht, damit auch Gegenmaßnahmen, wie die Förderung von Social-Awareness, sich in die Diskussion einbeziehen lassen. Schließlich lassen sich längst nicht alle Computer-, Netz- und Sicherheitsprobleme auf technischer Ebene und durch technische Maßnahmen lösen. Dem erwähnten Social-Engineering ist beispielsweise vor allem in der Benutzerschicht, durch ein verstärktes Sozialbewusstsein, eine erhöhte Social-Awareness zu begegnen.
Eine weitere wesentliche Eigenschaft der Ebenen des OSI-Modells ist, dass sie zwischen zwei Netzwerkknoten jeweils nur mit derselben Ebene kommunizieren. Das heißt, die Ebene 4 auf dem System A interagiert mit derselben Ebene auf System B. Dazwischen werden aber auf System A die Ebenen 3 bis 1 und auf System B selbige in umgekehrter Reihenfolge durchlaufen. Am Beispiel TCP/IP wird eine TCP-Session zwischen System A und B eröffnet. Dazu werden die TCP-Datenpakete in IP-Pakete verpackt (Layer 3) und diese dann in Ethernet-Pakete, beziehungsweise PPP-Pakete, für den Transport über Telefon- oder DSL-Leitungen. Für den Layer 8 bedeutet das, eine Interaktion ist nur zwischen Individuen, in der Benutzerschicht der beiden beteiligten Systeme möglich. Das gilt auch dann, wenn diese Interaktion nicht direkt zwischen den Personen, sondern etwa über eine Telefonleitung erfolgt. Diese dient lediglich als Transportmedium, über das die Benutzerschicht von System A mit der von System B kommuniziert. Wollen sie den Risiken nicht nur durch Förderung der Social-Awareness, sondern mit technischen Maßnahmen begegnen, dann müssen diese entweder die Kommunikation ganz unterbinden oder die Kommunikation der höheren Ebenen dekodieren. Ersteres ist oft nicht möglich, da die Kommunikation für den Betriebsablauf erforderlich ist. Letzteres erfordert ein Abhören der Kommunikation sowie eine automatisierte Auswertung und ist ebenfalls nicht unproblematisch. Eine Stärkung der Social-Awareness für Sicherheitsprobleme auf Layer 8 im erweiterten OSI-Modell lässt sich dagegen durch Informationskampagnen erreichen.
Einzelnachweise
- ↑ A. Bressen: RFC – RITA – The Reliable Internetwork Troubleshooting Agent. 1. April 1998 (englisch).
- ↑ Tod Beardsley – RSA Conference. (rsaconference.com [abgerufen am 26. Februar 2018]).
- ↑ RSA-Blog, 7. Dezember 2010