Sicherheit in Netzen

Prof. Jürgen Plate
Dipl.-Ing. Jörg Holzmann

8 Maßnahmen

Grundsätzliche Empfehlungen

Alle Unternehmen, die EDV benutzen, sollten ein entsprechend hohes Sicherheitsniveau haben, um Gefahren oder geringer Qualität der Datenverarbeitung begegnen zu können. Ein entsprechendes Sicherheitsniveau ist erreicht, wenn sich die geschäftlichen Konsequenzen der Unsicherheitsfaktoren mit den Kosten für das entsprechende Sicherheitsniveau die Waage halten. Das sicherste System ist unbrauchbar, und das benutzerfreundlichste System besitzt keine Sicherheit. Technische Machbarkeit und technische Lösungen stehen oft im Widerspruch zur geforderten Sicherheit des Rechners und des Netzes. Eine grobe Klassifikation der Bedrohungen ergibt folgende Einteilung:

Daher sind auf jeden Fall die beiden folgenden Regeln einzuhalten:

Da Server primäre Angriffsziele von innen und außen darstellen, ist ihnen besonderes Augenmerk zu widmen. Es ist daher zu prüfen, welche Rechner unbedingt notwendig für das Funktionieren des Netzes sind, welche unbedingt einen Netzzugang benötigen usw.

Die Sicherheitsmaßnahmen sollten ihren Ausgangspunkt in einer gründlichen Analyse der gegenwärtigen Situation haben. Die Analyse umfaßt eine Prüfung der IT-Ressourcen als auch die Abhängigkeit von diesen, sowie die Umstände, die mit einer gewissen Wahrscheinlichkeit diese Ressourcen bedrohen können. Das Bild der gegenwärtigen Situation muß die Grundlage für die Formulierung der Sicherheitspolitik bilden. Das Ziel dieser Arbeit ist ein Handlungsplan mit Richtlinien zur Einrichtung des gewünschten Sicherheitsniveaus über einen gegebenen Zeitraum und zur Festlegung grundlegender, laufender Sicherheitsmaßnahmen sowie Termine für die erneute Einschätzung der Sicherheit. Begonnen wird mit einer Analyse, die u. a. eine Beschreibung der LAN-Ressourcen und eine Beschreibung der Gefahren und Schwächen des lokalen Netzes enthält. Die Beschreibungen münden in einen Sicherheitsbericht, der die Grundlage der Führung für die Steuerungsprozesse ist:

Die Analyse liefert zwei Listen, erstens eine Liste der logische Ressourcen, darunter alle relevanten Daten und Datenbanken, aber auch Programmodifikationen, firmenintern entwickelte Programme und Systemkonfigurationen. Zweitens alle physischen Ressourcen des Netzes, z. B. Server, Arbeitsstationen, Verkabelung, Modems, externe Verbindungen, Drucker, Räume und Gebäude u.a.
Auf der Basis der festgestellten LAN-Ressourcen wird beurteilt, welchen Gefahren diese Ressourcen ausgesetzt sind. Unter Gefahren werden all jene Faktoren verstanden, welche die drei Datensicherheitsaspekte: Datenzugänglichkeit, Datenqualität und Datengeheimnis bedrohen. Die Gefahren, die es im Zusammenhang mit dem Betrieb von LANs gibt, können in drei Hauptkategorien aufgeteilt werden: menschliche, technische und umweltbedingte.
Aus den möglichen Gefahren und einer Risikoabschätzung entsteht die Sicherheitspolitik. Sie soll Ziele setzen, Prinzipien festlegen, Anforderungen stellen und Verantwortlichkeiten verteilen und möglichst ihre Aktualität für eine Reihe von Jahren bewahren. Sie wird anschließend in Funktionsbeschreibungen oder entsprechende Regelwerke für die praktische Sicherheitsarbeit im Unternehmen umgesetzt. Dazu gehört auch eine Kosten-Nutzen-Analyse.
Zu den Sicherheitskonzepten gehört unter anderem auch Vorgaben für die Benutzerverwaltung, Zugangskontrollen für Serverräume und Netzwerkschränke. In den folgenden Checklisten sind die wichtigsten Empfehlungen zusammengefaßt.

Sicherheitsverantwortliche bestimmen

Jeder Betroffene muß in die Verantwortung für die Sicherheit mit eingebunden werden. Bei größeren Netzen ist es sinnvoll, die Kontrolle an Subnetze mit eigener Verantwortlichkeit zu deligieren, wobei die jeweiligen Administratoren der Subnetze und auch die Systemadministratoren ihren Teil an Verantwortung tragen. Damit entsteht eine Verantwortungshierarchie:

Netzwerk-Adminstrator
Subnetz-Adminstrator
System-Adminstrator
Benutzer

Jede Ebene soll und muß ihre Verantwortlichkeit kennen und ihre Sicherheit ausüben. Notwendig ist auch die Weitergabe von Sicherheitsinformationen in zwischen den Ebenen, d.h. Informationen müssen nach unten weitergegeben werden, Vorkommnisse nach oben gemeldet werden.

Netzwerksicherheit ist ein menschliches Problem. Die Nutzer müssen wissen, was Sicherheit ist und welchen Zweck sie hat. Dazu ist es sinnvoll, Sicherheitsrichtlinien zu formulieren. Wichtige Punkte sind dabei:

  1. Verantwortungsbereiche der Nutzer

  2. Verantwortungsbereiche der Systemadministratoren

  3. Netzressourcen richtig einsetzen

  4. Maßnahmen bei Auftauchen von Sicherheitsproblemen
  5. Koordination aller Aktivitäten für Fragen der Sicherheit
  6. Massnahmen gegen interne Hacker vorsehen

Richtlinien für System-Administratoren

Richtlinien für End-Benutzer

8.2 Backup und Datenschutz

Backup

Es wurde schon erwähnt, daß effektives Backup von Daten und Software das A und O zur Erreichung hoher Sicherheit im Netz ist. Backup ist die einzige Methode, sich vor Datenverlusten als Folge von Betriebsstörungen, Benutzerfehlern, Virusangriffen etc. zu schützen. Wenn das Unglück geschehen ist, gehen nur die Daten verloren, die sich seit dem letzten Backup geändert haben. Zweckmäßige Backup-Prinzipien und -Routinen sind entscheidend dafür, in welchem Maß das Unternehmen seine Daten wiederfinden kann. Unter den grundlegenden Richtlinien sollten folgende hervorgehoben werden:

Für das Backup-Medium im Zusammenhang mit professionellen LANs gibt es derzeit keine Alternative zu Magnetbändern, denn diese erlauben zuverlässiges, automatisches Kopieren großer Datenmengen. Lokale Backups könne auch auf andere Medien erfolgen, z. B. CD-ROM, CD-RW, MO-Platte, etc. Auf Führungsebene muß dazu Stellung genommen werden, wie lange in die Vergangenheit der Bestand an Backupdaten reichen soll. Eine oftmals angewandte, effektive und in den meisten Fällen ausreichende Vorgangsweise ist, jeden Tag nach Ende der allgemeinen Arbeitszeit Backups von den Änderungen der Benutzerdaten vorzunehmen, und jede Woche ein komplettes Backup. Die täglichen Backups werden eine Woche aufbewahrt, wöchentliche Backups einen Monat, und die monatlichen Backups werden ein Jahr aufbewahrt. In diesem Zusammenhang ist auch an den Befall mit Computerviren zu denken, die nicht unbedingt sofort in Erscheinung treten. In solchen Fällen ist mitunter nur ein sehr "altes" Backup noch nicht verseucht.

Besonders kritische Dateien können auf ein alternatives Medium kopiert werden. Kritisch sind Dateien, die nicht von Originaldisketten rekonstruiert werden können. Zur Sicherheit vor versagenden Bandstationen werden diese auf eine lokale Festplatte, einen anderen Fileserver oder eine andere Bandstation kopiert. Führen Sie ein "Meilenstein-Backup" vor und nach kritischen und wichtigen Begebenheiten durch, wie z. B. Abschluß der Jahresbilanz, Update des Betriebssystems oder Verlagerung von Geräten. Auch frisch installierte Server oder Arbeitsplätze sollten so einem Meilenstein-Backup unterzogen werden.

Bewahren Sie die Backup-Bänder in sicherer Umgebung auf: kühl und fern von direkter Sonneneinstrahlung, Wärme und kräftigen Magnetfeldern. Als Sicherung gegen Diebstahl oder Brand sollten Bänder isoliert von dem System, das sie repräsentieren, aufbewahrt werden. Falls die Backup-Bänder im Serverraum oder in demselben Gebäude wie der Server aufbewahrt werden, hat das Backup im Falle von Brand, Wasserschaden, Verwüstung, Diebstahl u. a. geringe Wirkung. Stellen Sie deshalb zwei Sätze von Sicherheitskopien her, der eine Satz wird in einem feuerfesten Schrank aufbewahrt, während der zweite Satz extern aufbewahrt wird, z. B. beim Systemverwalter privat (mit dem Vorgesetzten absprechen). Seien Sie sorgfältig bei der Kennzeichnung von Sicherheitskopien, d. h. Quelle, Datum und Inhalt.

Das Backup ist nur die eine Seite der Backuparbeit. Wenn die Bänder unlesbar sind, z. B. aufgrund verschmutzter Schreib- oder Leseköpfe in der Bandstation oder unsachgemäßer Aufbewahrung, ist das Backup natürlich verschwendete Zeit. Kontrollieren Sie, ob das angelegte Backup wiederhergestellt werden kann. Wenn Dateien von den Bändern wiederhergestellt werden können, ist das System grundsätzlich in Ordnung.

Datenschutz beim Backup

Bekanntermaßen sind personenbezogene Daten zu löschen, wenn sie nicht mehr benötigt werden. "Löschen" im Sinne der Datenschutzgesetze ist das Unkenntlichmachen gespeicherter Daten. Aus einer Kommentierung zum LDSG Schleswig-Holstein:

"Gelöscht sind Daten, ungeachtet der dabei angewendeten Verfahren, wenn sie unkenntlich gemacht sind, d.h. nicht mehr verarbeitet, insbesondere gelesen werden können (Par. 2 Abs. 2 Nr. 8 LDSG). Das kann in verschiedener Form geschehen. Am sichersten ist die Vernichtung der Akte oder des sonstigen Datenträgers. Auf Papier können aber auch Schriftzeichen durch Ausstreichen, Überschreiben oder Schwärzen unkenntlich gemacht werden.
Können Daten nur unter Zuhilfenahme technischer Mittel zur Kenntnis genommen werden (z.B. durch Lesen mittels Datenverarbeitungsanlagen), dann sind sie "unkenntlich", wenn durch technische Maßnahmen sichergestellt ist, daß niemand von ihrem Inhalt Kenntnis nehmen kann. Das kann in der Regel nur durch Neuformierung der Magnetschichten (Überschreiben) geschehen, wodurch die Daten physisch vernichtet werden. Ein Datenbestand ist allerdings erst dann vollständig gelöscht, wenn auch die Datenträger, die der Datensicherung dienen (Duplikate, Archivbänder) gelöscht wurden."

Bei Backups gibt es häfig Konflikte, denn auf der einen Seite gehört ein Backup auch der personenbezogenen Daten zu einer Maßnahme der Datensicherheit, zum anderen unterliegen die personenbezogenen Backup-Daten natürlich ebenfalls dem Datenschutz.
Das Problem besteht weiterhin darin, daß Verwaltungshandeln transparent sein muß. Bei den regelmäßigen Löschungen ist das weniger ein Problem als bei den Löschungen, wenn falsch oder ohne Rechtsgrundlage o.ä. gespeichert wurde. Hier wäre also die Tatsache des Löschens zu dokumentieren. Allerdings verlöre ein Protokoll an Aussagekraft, wenn die gelöschten Daten nicht näher spezifiziert würden; eine Rekonstruktion des alten Zustands (z.B. bei einer fehlerhaften Löschung) wäre dann nicht mehr möglich.

Wie hilft man sich? Backups und Prokollierungen besonders schützen. Keine Dauerarchivierungen von personenbezogenen Daten, es sei denn, sie wandern wirklich ins Archiv. Dazu ggf. Organisation des Datenbestandes derart, daß Daten mit ähnlichem Löschdatum zusammen abgespeichert werden und zusätzlich besondere Löschungen vorgenommen werden könnten.

Wenn es sich um sehr sensible Daten handeln würde, die es nicht hätte geben dürfen (z.B. bei Polizei oder Verfassungsschutz, vielleicht auch im Steuer- oder Medizinbereich), würde ich darauf bestehen, daß auch alle Kopien, z.B. im Backup, gelöscht würden. Es soll schon Fälle gegeben haben, in denen die mühsam auf dem einen Medium gelöschten Daten durch ein Recovery die falschen Daten wieder eingespielt wurden.

A propos "gelöscht": Was in Betriebssystemen oder Datenbanken "gelöscht" heißt, ist ja in der Regel nicht datenschutzrechtlich einwandfrei gelöscht, denn die Daten sind ja noch da, wenn auch vielleicht mit kleinem Umweg wiederherstellbar und zugreifbar. Für den Austausch von Daten per Disketten wird teilweise vorherige Neuformatierung vorgeschrieben; Wipe-Systeme werden m.E. (noch) nicht in großem Stil gefordert. Es wird versucht, zumindest das Bewußtsein von "Gelöscht, aber noch da" zu wecken, insbesondere bei solchen (gängigen) Extremfällen wie der "Papierkorb" von Windows.

Man muß sich aber weniger Gedanken um "unrealistische Gesetze" in diesem Punkt machen, sondern vielmehr versuchen, die technischen Lösungen standardmäßig in Betriebssystemen und Datenbanken bereitzustellen. Man kann ja einige Medien ausnehmen, wenn diese besonders gut für Dauerarchive geeignet sein sollen, da hier nicht gelöscht werden kann. Dann müssen beim Speichern von personenbezogenen Daten aber besondere Vorkehrungen für das rückstandsfreie Vernichten getroffen werden.

Mailinglisten enthalten sicherlich personenbezogene Daten. Durch das Senden und die Kenntnis von der Archivierung ist dem Selbstbestimmugsrecht des Listen-Teilnehmers sicherlich genüge getan. Das allein kann kein Grund sein, die Löschung einer Mail in eine öffentliche Liste zu verlangen.

Die Juristen streiten sich darüber, ob IP-Adressen personenbezogen sind. Wenn man sich dafür entscheidet, daß IP-Adressen personenbezogen sind oder sein können, hat dies eine erhebliche Auswirkung, z.B. was Web-Protokolle angeht. Hier besteht bestimmt noch Diskussionsbedarf, gerade in bezug auf die Evaluierung des IuKDG (z.B. was das Löschen nach der erfolgten Nutzung in Protokollen angeht, sofern nicht für Abrechnungszwecke o.ä. erforderlich). Sofern es lediglich darum geht, statistische Daten auszuwerten und Lastverteilungen zu analysieren, wäre eine aggregierte Auswertung der IP-Adressen ausreichend. Nur scheint das mit der jetzigen Technik schwer machbar oder zu teuer zu sein.

8.3 Notfallplan

Am Anfang steht die Überlegung, welcher Typ Notfalleinrichtung optimal in Relation zur EDV-Abhängigkeit der Organisation ist, und wie lange das Unternehmen gegebenenfalls eine totale Betriebsunterbrechung überleben kann. Ziel ist ein Notfallplan. Er muß ein zugängliches und übersichtliches Dokument sein, das zentrale Bereiche in Form folgender Hauptabschnitte ausreichend abdeckt:

Einleitend werden sorgfältig die Verhältnisse und Ereignisse angegeben, die den Notfallplan aktivieren können. Mit in den Abschnitt gehören Hintergrundinformationen darüber, welche Systeme gesichert werden müssen und welche Funktionen die einzelnen Teilnehmer bei der Wiederherstellung des LAN haben. Der Plan sollte auch Angaben darüber enthalten, wie die wichtigsten Aufgaben für das Unternehmen manuell oder durch Verwendung irgendeiner Form von Backup-Einrichtung gelöst werden können.Der Plan sollte auch den ungefähren zeitliche Verlauf für die Phasen der Wiederherstellung enthalten. Unterschiedliche Vorfälle können unterschiedliche Konsequenzen für das Netz haben, so daß eventuell Bedarf für mehrere Teilpläne besteht, die selbst wieder unterschiedliche Scenarien beschreiben können.

Wichtig ist ein Abschnitt über die Verteilung der Verantwortung, z. B. Alarmierung und Information von Geschäftsleitung und Mitarbeitern des Unternehmens und ggf. Kooperationspartnern, die vom LAN des Unternehmens abhängig sind. Die Wiederherstellung hängt in hohem Maße von den Personen ab, die an diesem Prozeß beteiligt sind. Die Mitarbeiter müssen Zugang zu den notwendigen Informationen haben, um das Netz wieder betriebsfähig machen zu können. Deshalb sei an dieser Stelle nochmals die Wichtigkeit der Netzdokumentation hervorgehoben. Meist erfolgt eine Einteilung in Teams, da der Einsatz in mehreren Bereichen oder Räumlichkeiten erfolgen muß. Die Teameinteilung und -Benennung eines Teamleiters wird im Notfallplan spezifiziert und muß bei organisatorischen Änderungen aktualisiert werden. Für größere Organisationen ist es ratsam, einen Krisenstab zusammenzustellen. Aufgabe des Krisenstabs ist es, Entscheidungen zu treffen und in einer Notfallsituation auf Basis der generellen Richtlinien aus dem Notfallplan zu informieren. Deshalb müssen im Krisenstab vertreten sein:

Für jeden der oben genannten wird ein Stellvertreter benannt. Desweiteren kann es sinnvoll sein, daß der Krisenstab Personen aus Gebäudemanagement, Personalabteilung, Produktion und anderen Abteilungen umfaßt. Als Bestandteil des eigentlichen Notfallplans sollte verzeichnet werden, wie Maschinen, Kommunikationsleitungen etc. im Falle einer Notsituation wiederhergestellt werden können. Besonders wichtig ist eine kompatible Backup-/Restore-Ausrüstung, die eine Voraussetzung für den Zugang zu Sicherheitskopien von Daten ist.

Der Netzverantwortliche muß die kritischsten Komponenten des LAN lokalisieren und festlegen, wie in Notsituationen ein Ersatz für diese beschafft wird. Sofern die Abhängigkeit von Informationssystemen groß ist, sollten Vereinbarungen über Hilfeleistung in Notsituationen mit Lieferanten, Backup-Zentralen oder anderen Unternehmen mit entsprechender Ausrüstung eingegangen werden.

Mit Lieferanten von IT-Material kann eine Vereinbarung über Liefergarantie bestimmter Komponenten innerhalb kurzer Zeit getroffen werden (same-day, next-day, same-week). Eine alternative Möglichkeit ist, im voraus Reservekomponenten anzuschaffen.Die verbreitete Verwendung von Standardkomponenten in lokalen Netzen vergrößert die Möglichkeiten für die Beschaffung von Reservekomponenten stark. Alternde Reservekomponenten können als Ersatz für noch ältere, in Betrieb befindliche Geräte dienen (was vor zwei Jahren Ersatzserver war, ist immer noch ein guter Arbeitsplatzrechner). Die Wiederherstellung behelfsmäßiger Geschäftsverhältnisse erfordert einen beträchtlichen Teil an behelfsmäßigen Kommunikations- und Bürogeräten. Der Standort wichtiger Kommunikationssysteme, Computer und Peripheriegeräte sollte ebenfalls im Notfallplan festgehalten werden. Zur Not kann auch ein Arbeitsplatzrecher zeitweise als Server genutzt werden - besser ein Mitarbeiter ist ohne Netzanschluß als alle.

Die Basis-Software des Unternehmens wird ebenfalls im Notfallplan beschrieben. In bestimmten Fällen wird diese Software auf behelfsmäßigen Maschinen an einer alternativen Örtlichkeit laufen können. Es ist nicht wahrscheinlich, daß alle Programme sofort zur Verfügung stehen werden. Es können deshalb Anweisungen zur manuellen Ausführung wichtiger täglicher Geschäftsgänge notwendig sein. Eine nach Prioritäten geordnete Liste kann in den Notfallplan eingehen. Ein zentraler Teil des Unternehmensarchivs muß Dokumente in gedruckter Form enthalten, die in einer Notsituation nicht verloren gehen dürfen, wie beispielsweise Verträge, Personaldaten, Buchhaltungsbelege etc. Sofortiger Zugang zu diesen Dokumenten ist nicht entscheidend, hat aber große Bedeutung für die Herstellung einer normalen Situation auf längere Sicht.

Zum vorhergehenden Abschnitt Zum Inhaltsverzeichnis Zum nächsten Abschnitt


Copyright © FH München, FB 04, Prof. Jürgen Plate