Datenschutz

Netze - Risiken und Schutz

Auszug aus dem 1. Tätigkeitsbericht zum Thema Netzwerksicherheit

Der zunehmende Einsatz von vernetzten Arbeitsplatzrechnern in der öffentlichen Verwaltung Thüringens erfordert auch seitens des Datenschutzes, dem Thema Netzwerksicherheit große Beachtung beizumessen. Die durchgeführten Kontrollen offenbarten, dass die mit einer Vernetzung verbundenen Risiken bei der Verarbeitung personenbezogener Daten den Verantwortlichen nicht immer im erforderlichen Maße bewusst waren bzw. oftmals in ihren Auswirkungen auf die schutzwürdigen Belange der Betroffenen unterschätzt wurden.

Aus der Sicht des Datenschutzes ist die zunehmende Vernetzung von Arbeitsplatzrechnern bei der Verarbeitung personenbezogener Daten nicht unbedenklich. Es ist nicht zu verkennen, dass bei der Planung und dem Betreiben von Netzen vorwiegend die technischen Möglichkeiten ausgenutzt werden. Das technisch Machbare wird versucht umzusetzen, wobei datenschutzrechtliche Aspekte nicht immer in dem erforderlichen Maße schon in die konzeptionellen Überlegungen einbezogen werden. Vernetzungen von PC werden auch vorgenommen, ohne dass zwingend die fachlichen Aufgaben, deren Ablauforganisation oder die eingesetzten programmtechnischen Verfahren dies erfordern würden. Die somit geschaffenen technischen Möglichkeiten für einen unbeschränkten Austausch von oder einen Zugriff auf personenbezogene Daten unabhängig von einer konkreten Erforderlichkeit im Einzelfall können zu einem unkontrollierbaren Datenmissbrauch führen.

Aus datenschutzrechtlicher Sicht sollte eine Vernetzung nur dann erfolgen, wenn die Arbeitsaufgaben dies erfordern und schutzwürdige Rechte der Betroffenen nicht verletzt werden. Der notwendige Zugriff auf den gleichen Datenbestand durch mehrere Benutzer oder ein erforderlicher Datenaustausch zwischen diesen wäre hier beispielhaft zu nennen. In zahlreichen öffentlichen Stellen Thüringens sind schon PC örtlich begrenzt auf das jeweilige Verwaltungsgelände zu einem so genannten lokalen Netz (LAN-Local Arta Network) verbunden. Der jeweilige PC-Arbeitsplatz ist somit aus seiner reinen Isolierung herausgelöst und in die Gesamtorganisation der jeweiligen Struktureinheit eingebunden. Damit wird nicht nur eine (ökonomische) Nutzung teurer peripherer Geräte von jedem vernetzten PC ermöglicht, sondern unter anderem auch die zentrale Bereithaltung und Verwaltung von mehrfach genutzten Datenbeständen, das gemeinsame Nutzen zentral bereitgestellter Software und ein interaktiver Austausch von Informationen zwischen den vernetzten Arbeitsplätzen.

Diese verstärkte Einbindung der PC-Arbeitsplätze in Netze sollte aber auch gezielt von den betroffenen Stellen genutzt werden, die bisher teilweise unkontrollierbaren Freiräume der PC-Benutzer auf das notwendige Maß einzuschränken. Das LAN ist ein Kommunikationsnetz auf File-Server-Basis. Im Gegensatz zu öffentlichen Netzen steht es ausschließlich unter der rechtlichen Kontrolle seines Betreibers. Die Daten und Programme werden auf einem als Server bezeichneten Rechner, mit dem alle PC des LAN verbunden sind, zentral vorgehalten.

Im Einsatz befinden sich so genannte Client-Server-Systeme als auch Peer-to-Peer-Systeme. Bei einer Peer-to-Peer-Netzstruktur sind alle PC gleichberechtigt miteinander vernetzt. Jeder PC kann je nach Bedarf sowohl als Server seine Daten und Programme anderen PC zur Verfügung stellen oder als Arbeitsplatzrechner Anwendungsprogramme abarbeiten. Im Gegensatz hierzu sind bei einem Client-Server-System alle PC als so genannte Clients an einen zentralen und leistungsfähigen Rechner (Server) angeschlossen. Dieser Server verwaltet zentral für alle Clients die Daten und Programmdateien. Auf dem Client erfolgt die Abarbeitung der Anwendungssoftware, wobei bei einem echten Client-Server-Prinzip die Anwendungsprogramme so entworfen sind, dass sie teils auf dem Server und teils auf dem Client abgearbeitet werden.

In der Öffentlichkeit werden immer wieder Fälle bekannt, die belegen, dass Computernetze ein bevorzugter Tummelplatz für Angreifer sind. Nach Meinung von Experten stellen die bekannten Fälle nur die Spitze des Eisberges dar. Aus Imagegründen werden erkannte Angriffe von den betreffenden Stellen zumeist nicht publiziert. Verhängnisvoller sind jedoch unbemerkt gebliebene Angriffe, weil sich hier ein Zustand der trügerischen Scheinsicherheit manifestiert. Schon allein durch ihre räumliche Ausdehnung ist die Gewährleistung von Sicherheit in Netzen schwieriger handhabbar als bei zentralisierten Hostsystemen oder bei Einzelplatz-PC. Unter Sicherheit wird hier der Schutz vor unerlaubten Angriffen auf die Daten bei ihrer Übertragung im Netz oder Speicherung auf dem Server oder Client verstanden. Angriffe stellen immer eine bewusste und zielgerichtete Bedrohung für die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Verbindlichkeit der zu verarbeitenden Daten dar (siehe Punkt 15.2). Das Risikopotenzial erhöht sich, wenn das eigene LAN mit öffentlichen Netzen gekoppelt ist. Interne oder externe Angreifer nutzen vorhandene sicherheitstechnische Schwachstellen in Netzen aus, um getroffene Sicherheitsmaßnahmen zu umgehen. Solche Schwachstellen können personeller, organisatorischer und technischer Natur sein.

Wesentliche Sicherheitsrisiken für die Verarbeitung personenbezogener Daten in Netzen sind:
 

  • Maskeraden
    Ein Angreifer täuscht die Identität eines berechtigten Benutzers vor, um dessen Rechte sich anzueignen. Der Angreifer kann somit alle Privilegien für sich in Anspruch nehmen, über die ansonsten nur der berechtigte Benutzer verfügen soll.
  • Manipulationen
    Ein Angreifer kann sowohl über das Netz übertragene Daten als auch im Vermittlungsknoten gespeicherte Daten manipulieren. Durch unbefugtes Ändern, Löschen und Einfügen von Daten wird die Integrität der Daten verletzt und der Empfänger kann zu einem falschen Verhalten veranlasst werden.
  • Verzögern oder Wiederholen von Daten
    Während der Datenübertragung werden durch einen Angreifer gezielt Daten aufgezeichnet und zeitlich verzögert oder wiederholt zum Ziel übertragen. Auch hier kann der Empfänger zu falschen Aktionen veranlasst werden.
  • Fehlleiten
    Daten werden durch Adressmanipulationen nicht dem regulären Empfänger zugestellt.
  • Boykottieren des Kommunikationsnetzes
    Ein Angreifer verhindert oder unterbricht den Datenstrom durch Manipulationen an den Netzelementen.
  • Leugnen einer Kommunikationsbeziehung
    Der Sender oder der Empfänger von Daten streitet ab, an einer Kommunikation teilgenommen zu haben. Dies kann eine rechtliche Relevanz haben.

Die aufgezeigten Gefährdungen stellen, bis auf den letzten Anstrich, aktive Angriffe auf die Kommunikation in Netzen dar. Im Gegensatz zu den aktiven Angriffen, welche im Wesentlichen den Datenstrom verfälschen, stellen passive Angriffe eine Bedrohung für die Vertraulichkeit der Datenkommunikation dar. Solche Angriffe können z. B. mit Klemmen oder Induktionsschleifen an den Übertragungsleitungen durchgeführt werden. Sofern die Daten unverschlüsselt übertragen werden, können diese somit abgehört werden. Neben Inhalts- und Verbindungsinformationen können während einer Login-Prozedur auch die Benutzerkennung und das Passwort des Teilnehmers ausgespäht werden.

Erhöhte datenschutzrechtliche Risiken für im Netz zu verarbeitende personenbezogene Daten bestehen weiterhin durch:
 

  • Unkontrollierte Datenübertragung
    Durch eine unzureichende Trennung von lokaler PC-Verarbeitung und Netzanwendung können leseberechtigte Benutzer über das Netz unkontrolliert Daten auf die lokale Festplatte oder Diskette bzw. über eine ungesicherte Netzstelle unbefugt kopieren.
  • Manipulation von Netzwerkadressen
    Jeder am Netz angeschlossene PC besitzt eine eigene Netzadresse. Die im Netz transportierten Datenpakete enthalten u. a. die Adresse des jeweiligen Zielrechners. Bei den so genannten broadcast-orientierten Netzsystemen (Bus- oder Ring-Topologie) wird die Zieladresse von den Netzrechnern überprüft und bei Übereinstimmung mit der eigenen Adresse wird das Datenpaket von diesem Rechner übernommen. Durch eine Manipulation der eigenen Netzadresse ist es somit möglich, einen unbefugten Zugriff auf Daten zu erlangen.
  • Einsatz von Netzanalyse- oder Fernsteuerungsprogrammen
    Netzanalyseprogramme gestatten das inhaltliche Lesen der im Netz übertragenen Datenpakete. Fernsteuerungsprogramme ermöglichen, den aktuellen Bildschirminhalt eines Netzteilnehmers auf den eigenen PC aufzubauen. Die Möglichkeiten eines Datenmissbrauches bei einem Einsatz solcher Programme sind offensichtlich.
  • Unzureichende Kontrolle des Netzverwalters
    Der Netzverwalter verfügt entsprechend seiner Funktion über umfassende Rechte, die einen Datenmissbrauch jederzeit ermöglichen. Werden seine Aktivitäten nicht protokolliert, so ist ein Missbrauch nachträglich kaum feststellbar.
  • Netzweites Versenden von Daten
    Zugriffsberechtigte Benutzer stellen ihre Daten unbefugt anderen Netzteilnehmern zur Verfügung.
  • Gemeinsame Nutzung der Netzdrucker
    Alle technischen Sicherungsmaßnahmen greifen ins Leere, wenn bei der Datenausgabe auf Netzdruckern durch organisatorische Maßnahmen die Einsichtnahme durch Unbefugte nicht verhindert wird.

Schon bei der Konzeption von Netzen muss ein hoher Sicherheitsstandard angesetzt werden. Auch wenn zum derzeitigen Erkenntnisstand gegebenenfalls noch keine Verarbeitung personenbezogener Daten ansteht. Aufgesetzte Sicherungs-maßnahmen, die nachträglich realisiert werden, sind oftmals kostspieliger und gewährleisten nicht immer einen umfassenden Datenschutz. So wird zum Beispiel die Datensicherheit in einem Netz schon grundlegend durch dessen Topologie (Netzstruktur) und das eingesetzte Übertragungsmedium beeinflusst. Die Festlegungen hierfür erfolgen schon bei der Konzeption des Netzes.

Es gibt drei topologische Grundformen (Stern, Bus, Ring) für LAN mit unterschiedlichen Sicherheitsrisiken.

Bei einem Sternnetz ist jede Arbeitsstation über eine eigene Leitung mit der Zentrale (Server) verbunden. Der Datenverkehr eines Netzteilnehmers erfolgt beim Einsatz intelligenter Sternkoppler mit entsprechenden Filterfunktionen nur über seine eigene Leitung und nicht durch das gesamte Netz, wodurch das Abhörrisiko vermindert wird. Von einem Ausfall der Zentrale sind allerdings alle Netzteilnehmer betroffen, weil der gesamte Datenverkehr über den zentralen Knoten des Netzwerkes läuft.

Bei einem Busnetz sind alle Arbeitsstationen und der Server an ein gemeinsam zugängliches Übertragungsmedium, dem so genannten Datenbus, angeschlossen. Alle Arbeitsstationen können direkt zu jeder anderen Arbeitsstation in Kontakt treten. Arbeitsstationen können jederzeit ohne Unterbrechung des Netzwerkbetriebes neu installiert oder abgebaut werden. Der gesamte Datenverkehr läuft über den Datenbus. Das Abhörrisiko ist hier hoch, da ein technisch versierter Angreifer sich problemlos an den Datenbus anschließen kann. Da über den Bus die Daten aller Netzteilnehmer übertragen werden, können die Auswirkungen gravierender sein als bei einem Sternnetz.

Bei einem Ringnetz sind die Arbeitsstationen ringförmig miteinander verbunden. Im Gegensatz zu einem Busnetz, bei dem alle angeschlossenen Arbeitsplätze die ausgesandten Daten gleichzeitig empfangen können, werden im Ringnetz alle Daten von Station zu Station weitergeleitet. Das Abhörrisiko ist hoch, da jeder Teilnehmer prinzipiell die Möglichkeit hat, die über das Netz übertragenen Daten zu lesen.

Die Übertragung der Daten im Netz kann leitungsgebunden oder drahtlos erfolgen. Als Leiter können Koaxialkabel, Kupferkabel (Twisted-Pair-Kabel) und Glasfaserkabel eingesetzt werden.

Mit Hilfe von Spezialwerkzeugen kann der Innenleiter des Koaxialkabels angezapft und somit die übertragenen Daten abgehört werden. Ein solcher Angriff ist schwer erkennbar, da beim Anzapfen der Netzbetrieb nicht unterbrochen wird und er nachträglich nicht feststellbar ist. Für die Übertragung unverschlüsselter Daten sollte deshalb auf den Einsatz von Koaxialkabel verzichtet werden.

Twisted-Pair-Kabel bestehen aus paarweise miteinander verdrillten Kupferadern. Insbesondere durch das Auftrennen der Ummantelung kann die Abstrahlung des Kabels aufgefangen werden. Ein Abhören ist aber auch durch das Auftrennen des Kabels möglich. Beide Angriffsarten sind optisch erkennbar. Bei einer gebäudeübergreifenden Verkabelung sollte auf den Einsatz von Twisted-Pair-Kabeln verzichtet werden.

Lichtwellenleiter (Glasfaserkabel) sind abstrahlarm. Um Lichtwellenleiter abzuhören, müssen sie aufgetrennt werden. Sowohl das Auftrennen als auch das Zusammenfügen der Lichtwellenleiter erfordern Spezialwerkzeuge. Obwohl Lichtwellenleiter ebenfalls nicht völlig abhörsicher sind, bieten sie immer noch eine hohe Abhörsicherheit und sollten zumindestens für die externe Verkabelung von Gebäuden eingesetzt werden.

Eine kabellose Datenübertragung kann durch Funk bzw. Infrarotlicht erfolgen. Auf Grund der Streuung der Strahlen ist die Abhörsicherheit nicht gegeben. Deshalb sollten beim Einsatz drahtloser Übertragungsmedien sensible Daten verschlüsselt übertragen werden.

Ein wichtiges Ziel der Datenschutzmaßnahmen ist, die in Netzen rechtmäßig verarbeiteten personenbezogenen Daten vor unberechtigter Kenntnisnahme zu schützen. Die Maßnahmen müssen so ausgerichtet sein, dass jeder befugte Netzteilnehmer nur die Funktionen ausführen darf, die genau seinem Verantwortungsbereich entsprechen (siehe auch Punkt 15.14.2).

Wichtige Sicherheitsfunktionen für das Betreiben von Netzen sind die:
 

  • Identifizierung und Authentisierung
    Die Identifizierung und Authentisierung bilden die wichtigsten Mechanismen zur Zugangskontrolle. Gängige Praxis ist derzeit die Identifizierung mittels Benutzerkennung und die Authentisierung mittels Passwort. Ein höheres Sicherheitsniveau lässt sich durch den Einsatz von Chipkarte und Passwort erzielen.
  • Rechteverwaltung und Rechteprüfung
    Durch die Rechteverwaltung und Rechteprüfung wird eine wirksame Zugriffskontrolle realisiert. Hiermit werden die Zugriffsrechte bezüglich der Ressourcen wie Laufwerke, Dateien und Drucker für den jeweiligen Benutzer oder für Benutzergruppen festgelegt. Die Zugriffsrechte werden über das jeweilige Netzwerkbetriebssystem verwaltet und kontrolliert.
  • Beweissicherung
    Die Beweissicherung umfasst die Protokollierung von Benutzer- und Netzverwalteraktivitäten. Das Aufzeichnen von sicherheitsrelevanten Netzwerkaktivitäten wird als Auditing bezeichnet. In einer vom Netzwerkbetriebssystem geführten Datei kann protokolliert werden, wer wann im System aktiv war, ob Zugangs- und Zugriffsverletzungen begangen wurden etc. (siehe Punkt 15.12).
  • Vertraulichkeit
    Die Maßnahmen zur Gewährleistung der Vertraulichkeit müssen in Abhängigkeit des Schutzbedarfs der zu verarbeitenden personenbezogenen Daten festgelegt werden. Als Orientierungshilfe kann hierfür das in Punkt 15.3 dargestellte Schutzstufenkonzept herangezogen werden. Neben Mechanismen zur Zugangs- und Zugriffskontrolle kommen zur Realisierung der Vertraulichkeit auch Mechanismen zur Verschlüsselung zum Einsatz. Eine Verschlüsselung der Daten kann sowohl bei ihrer Speicherung auf der Festplatte vom Arbeitsplatz-PC als auch vom Server zum Einsatz kommen.
  • Datenübertragungssicherung
    Im Vordergrund der Datenübertragungssicherung stehen Maßnahmen zur Gewährleistung der Datenintegrität, der Vertraulichkeit und des Kommunikationsnachweises (Nachweis über Ursprung und Empfang von Daten). Wesentliche Sicherheitsmechanismen hierfür sind die Verschlüsselung der Daten sowie der Einsatz der elektronischen Unterschrift.
  • Datensicherung
    Für die physische Sicherung der Datenbestände konzentrieren sich die Anforderungen auf das Sicherungsmedium (z. B. Streamer) und ihre Ablauforganisation (Frequenz der Sicherung, Anzahl der Generationen, Löschfristen, sichere Aufbewahrung). Eine automatisierte Datensicherung ist anzustreben.

Die grundsätzlichen Sicherheitsanforderungen, die durch die oben beschriebenen Sicherheitsfunktionen zum Ausdruck kommen, sind sowohl durch technische als auch durch organisatorische Maßnahmen zu realisieren. Für den jeweiligen Anwendungsfall sind, eventuell auf der Grundlage einer Risikoanalyse, die konkreten Sicherheitsanforderungen und aufgedeckten Risiken durch im einzeln festzulegende Sicherheitsmaßnahmen abzudecken. Die Gesamtheit der festgelegten Maßnahmen bildet das Sicherheitskonzept. Aus datenschutzrechtlicher Sicht sollte dieses Sicherheitskonzept einen angemessenen und wirksamen Schutz der im Netz zu verarbeitenden personenbezogenen Daten gewährleisten.

Die Sicherheitsmaßnahmen beziehen sich auf die Netzelemente (Server, Arbeitsplatzrechner, Übertragungsleitung) und lassen sich in physische, organisatorische und DV-technische Maßnahmen untergliedern. Sie müssen immer im Zusammenhang betrachtet werden. Nachfolgend sind beispielhaft mögliche Sicherheitsmaßnahmen aufgeführt:

Technische Maßnahmen

Server
 

  • Aufstellen in einem separaten Raum mit besonderer Zutrittssicherung
  • Brandschutzvorkehrungen (Kohlensäure- bzw. Kohlendioxidhandfeuerlöscher, eventuell Brandmelder)
  • Anschluss an unterbrechungsfreie Stromversorgung (Verhinderung von Datenverlusten bei Netzschwankung oder Stromausfall)
  • keine Nutzung als zusätzlicher Arbeitsplatzrechner
  • Zugangssicherung durch Identifizierung / Authentisierung
  • Begrenzung der Zahl der Anmeldeversuche
  • Zugang nur mit Systempasswort
  • Benutzerzugriffssteuerung in Form einer Rechteverwaltung bis auf einzelne Dateien und Verzeichnisse hinunter
  • Protokollierung aller Zugriffe bzw. abgewiesenen Zugriffsversuche
  • Zentrale Systemverwaltung aller Clients
  • Einsatz eines hinreichend sicheren Betriebssystems
  • Verschlüsselung sensibler Daten auf der Festplatte
  • Verzicht auf Fernwartung
  • Sperrung der Serverkonsole
  • Nutzung eines Gehäuseschlosses
  • Plattenspiegelung zur Ausfallsicherheit
  • Protokollierung der Aktivitäten des Netzwerkmanagements
  • regelmäßige Datensicherung der Festplatten
  • Einsatz eines Virensuchprogramms
  • Abweisung nicht autorisierter Rechner
  • obligatorische Menüführung der Benutzer im Netzwerk
  • Verhinderung des Zugriffs auf die Netzbetriebssystemebene
  • benutzerbezogene zeitliche Eingrenzung des Netzzugriffs
  • automatischer Entzug der Benutzerberechtigung bei mehrmaliger Falschanmeldung, eventuelle Sperrung des Zugriffsgerätes
  • Zugriffskontrolle der Netzdrucker.
     

Arbeitsplatzrechner

  • Lokale Identifizierung/ Authentisierung
  • Boot-/Setup-Passwortschutz
  • keine Diskettenlaufwerke bzw. Verschluss vorhandener Diskettenlaufwerke
  • Sperrung serieller und paralleler Schnittstellen
  • bei Arbeitsunterbrechung Bildschirmverdunkelung, Aufhebung durch Passworteingabe
  • keine Speicherung sensibler Daten auf der lokalen Festplatte, ansonsten Verschlüsselung der Daten
  • Versiegeln der Gehäuse, um Manipulationen der Hardware auszuschließen
  • Einsatz von Sicherheitssoftware bzw. von Betriebssystemen mit hinreichenden Sicherheitsmechanismen
  • Verhinderung des Zugriffs auf die Betriebssystemebene
  • Zugriff der Benutzer nur auf die zugewiesenen Anwendungen.
     

Netze
 

  • Schutz der Leitungen in gesicherten Kabelschächten
  • räumliche Absicherung der Netzverteiler
  • Auswahl abhörsicherer Übertragungsmedien (Lichtwellenleiter)
  • abkoppeln physikalisch nicht benutzter Anschlussdosen
  • verschlüsselte Übertragung sensibler Daten
  • Einsatz der Stern-Topologie.
     

Organisatorische Maßnahmen

  • Technische Dokumentation des Netzwerkes bezüglich Verkabelung, Installation und Konfiguration
  • Dokumentation des IT-Sicherheitskonzeptes durch Festlegung verbindlicher Sicherheitsrichtlinien (angestrebte Sicherheitsanforderungen, getroffene Sicherheitsmaßnahmen, festgelegte Benutzer- und Zugriffsrechte, Aufgaben der Netzadministration, physische Datensicherung, Behandlung von Sicherheitskonflikten, Konsequenzen bei Sicherheitsverletzungen, Kontrolltätigkeit, Virenschutz, Absicherung zwingender Fernwartung)
  • klare Regelung der Verantwortlichkeiten
  • regelmäßige Auswertung der Protokolle nach dem Vier-Augen-Prinzip
  • Erarbeitung eines Katastrophenplanes mit Wiederanlaufkonzept.
     

Personelle Maßnahmen

  • Als Netz- und Systemverwalter sollten nur entsprechend qualifizierte Mitarbeiter eingesetzt werden
  • Durchführung ausreichender Weiterbildungs- und Schulungsmaßnahmen für alle Netzteilnehmer
  • Sensibilisierung der Mitarbeiter hinsichtlich des Datenschutzes und der IT-Sicherheit.
     

Bei der Verarbeitung sensibler Daten empfiehlt sich eine strikte Funktionstrennung von Administration der Sicherheitsmaßnahmen und Kontrolle der getroffenen Maßnahmen. Die Kontrollfunktion sollte nicht vom Netzverwalter wahrgenommen werden.

Ihr Kontakt zum TLfDI


Logo des TLFDI

Sie brauchen die Hilfe des TLfDI?

Postfach 90 04 55 | 99107 Erfurt
Häßlerstrasse 8 | 99096 Erfurt

Tel.: 03 61 / 37 71 900
Fax : 03 61 / 37 71 904

Logo Freistaat Thüringen