DatenschutzprŸfkonzept fÿr Fileserver mit dem Netzwerkbetriebssystem NOVELL NetWare 3.11 / 3.12

Transkript

1 DatenschutzprŸfkonzept fÿr Fileserver mit dem Netzwerkbetriebssystem NOVELL NetWare 3.11 / 3.12 (Stand: 08.94) INHALT 1. Einleitung 2 2. PrŸfungsunterlagen 4 3. Klassifizierung schutzwÿrdiger Belange 5 4. Systemverwaltung Benutzerklassen Systemadministrator Benutzerkontenverwalter Anmeldung an den NOVELL-Fileserver 16 5 Dateiverwaltung Rechte und Attribute zur BeschrŠnkung des Zugriffs auf Dateien und Verzeichnisse VerschlŸsselung Protokollierung Systemeinstellungen Parametereinstellungen Spezielle System-Kommandos (Konsolenbefehle) Sicherheit der bertragungsmedien Lokale Netzwerke DatenfernŸbertragung Wartung/Fernwartung Fernverwaltung von Fileservern durch einen Fernkonsolbetreuer (eigenes Personal) Wartung/Fernwartung durch Fremdpersonal ZusŠtzliche Ma nahmen GerŠtesicherung DatentrŠger-Kontrolle Speicherkontrolle 48

2 1. Einleitung Das Netzwerkbetriebssystem NOVELL NetWare wird bei vielen Stellen der Privatwirtschaft und der šffentlichen Verwaltung bei der Vernetzung von Personal Computern (PC) eingesetzt. Wesentlicher Bestandteil eines NOVELL-Netzes ist der Fileserver mit den zentralen DatenbestŠnden. NOVELL NetWare bietet eine Reihe von Funktionen, die fÿr den Datenschutz und die Datensicherheit der Daten auf dem Fileserver genutzt werden kšnnen. Es ist sowohl eine Zugriffs- als auch eine Benutzerkontrolle fÿr die auf dem Fileserver gespeicherten Informationen bis zur Dateiebene mšglich. Eine Kontrolle der AktivitŠten des Benutzers und der DatenbestŠnde vor Ort auf dem einzelnen PC ist jedoch mit NOVELL Net- Ware nicht mšglich. Hierzu ist der Einsatz entsprechender Sicherheitssoftware, wie z.êb. Safeguard, notwendig. FŸr die Sicherheit des gesamten NOVELL-Netzes ist ein Gesamtkonzept erforderlich, da 1. die Sicherheit auf dem Fileserver und 2. die Sicherheit des lokalen DOS-Systems berÿcksichtigt. Das folgende PrŸfkonzept soll dabei eine Hilfe sein. Sofern die Datensicherheit nicht in dem fÿr sensible Daten erforderlichen Umfang gewšhrleistet werden kann, ist von deren Verarbeitung in einem NOVELL-Netz abzusehen. Zum systematischen Abarbeiten dieses PrŸfkonzeptes sollten Sie zunšchst die in KapitelÊ2 beschriebenen Unterlagen zusammentragen bzw. erstellen. Weiter sollten Sie die bei Ihnen gespeicherten personenbezogenen Daten nach dem Grad mšglicher BeeintrŠchtigung schutzwÿrdiger Belange der Betroffenen entsprechend dem Schutzstufenkonzept des Kapitels 3 klassifizieren. Die Kapitel 1 bis 4 des nachfolgenden PrŸfkonzeptes dienen in erster Linie der berprÿfung der Sicherheit auf dem Fileserver. Die Fragen in Kapitel 7 bis 9 sind zur Kontrolle der Sicherheit des Gesamtsystems gedacht. NOVELL- und MS-DOS- Grundkenntnisse werden fÿr die Abarbeitung des PrŸfkonzeptes vorausgesetzt. Durch Ankreuzen von: erhalten Sie die Mšglichkeit, alle erforderlichen Datensicherungsma nahmen zu erkennen und - soweit sie noch fehlen - zu initiieren. Auf diese Weise liegt nach Durcharbeiten des PrŸfkonzeptes eine Ÿbersichtliche Aufstellung der noch zu treffenden Ma nahmen vor. Zum Teil werden die einzelnen Fragen in dem PrŸfkonzept durch einen in Klammern gesetzten NOVELL-Befehl ergšnzt, mit dem sich feststellen lš t, ob die in der Frage geforderte Datensicherungsma nahme erfÿllt oder noch zu beheben ist. Das PrŸfkonzept erhebt keinen Anspruch auf VollstŠndigkeit. nderungs- und ErweiterungsvorschlŠge werden gern entgegengenommen. Frauen bitte ich, sich auch von scheinbar mšnnlichen, in Wahrheit aber nur generellen Bezeichnungen (z. B. Systemadministrator, Arbeitsgruppenverwalter, Benutzer) gemeint zu wissen: Hinweis: Ein beantwortetes PrŸfkonzept deckt mšglicherweise vorhandene SicherheitslŸcken des Systems auf. Daher ist das ausgefÿllte PrŸfkonzept bis zur vollstšndigen Beseitigung dieser MŠngel entsprechend vertraulich zu behandeln!

3 2. PrŸfungsunterlagen Zur DurchfŸhrung einer zÿgigen PrŸfung sollten folgende Informationen oder Unterlagen zur VerfŸgung stehen : 1. Dienstanweisung fÿr den NOVELL-NetWare-Systemadministrator, alle weiteren Benutzer und ggf. zur Wartung/Fernwartung des Netzes. O VorhandenO Nicht vorhanden 2. bersicht Ÿber alle Benutzer/Gruppen mit den Angaben: - Name, Aufgabe und organisatorische Einordnung der Benutzer (z. B: Datenerfassung, Datenbankadministration) - im Arbeitsbereich eingesetzte Anwendung, Software - Zugriff auf Verzeichnisse - ArbeitszeitbeschrŠnkungen - StationsbeschrŠnkungen - Betreuer/Verwalter usw. O VorhandenO Nicht vorhanden 3. bersicht Ÿber die eingesetzten GerŠte und die Vernetzung des Rechnersystems mit folgenden Angaben: - Art, Anzahl, Funktion und Standort der eingesetzten GerŠte (Rechner, Laufwerke, BrŸcken, Repeater usw.), ggfs. Skizze - Zuordnung der GerŠte zu den Benutzern - eingesetzte NOVELL-NetWare-Versionen und Betriebssystemversionen der angeschlossenen Rechner - Kurzbeschreibung der Netzstruktur (z.b. "behšrdeneigenes Ethernet-LAN mit 10 PC im Hause, Server in Raum 213") O VorhandenO Nicht vorhanden 4. bersicht Ÿber alle Dateien bzw. Dateiengruppen/Dateiverzeichnisse mit folgenden Angaben: - Kurzbeschreibung der datenschutzrelevanten Merkmale der Dateien (z.b. Dateierrichtungsanordnung gemš Anlage 2, Ziffer 13 der IuK-Technik- GrundsŠtze, Nds. MBl. Nr.29/1990, S.994, bersicht nach 37 Abs. 2 BDSG)) - Einstufung der SensitivitŠt der gespeicherten Daten entsprechend Kapitel 3. - bei Programmen Kennzeichnung und kurze Funktionsbeschreibung (z.b. "Datenbankprogramm") - Trustee-Rechte fÿr die einzelnen Verzeichnisse O VorhandenO Nicht vorhanden

4 5. Ausdruck des Bindery (nur bei kleineren Netzen mit weniger als 50 Benutzern); Das NOVELL NetWare 3.11-Bindery besteht aus folgenden drei Dateien, die sich im Verzeichnis SYS:SYSTEM befinden: - NET$OBJ.SYS (fÿr Objekte, z.b. Benutzer, Gruppen, Fileserver) - NET$PROP.SYS (fÿr Eigenschaften = Merkmale der Objekte, z.b. Pa wšrter) - NET$VAL.SYS (fÿr EigenschaftsdatensŠtze) O VorhandenO Nicht vorhanden 6. Aufstellung Ÿber alle gravierende VerŠnderungen an dem NOVELL-Betriebssystem, z.b. Einbindung oder Lšschung (evtl. zusštzlicher) NLM (NetwareLodableModul), EinfŸgung von Treibern, usw. O VorhandenO Nicht vorhanden 7. bersicht Ÿber eingesetzte Zusatzsoftware, die Datenschutz und die Datensicherung unterstÿtzt (z.b. Software zur Benutzerverwaltung, VerschlŸsselung und Protokollierung) O VorhandenO Nicht vorhanden 3. Klassifizierung schutzwÿrdiger Belange Personenbezogene Daten werden nach dem Grad mšglicher BeeintrŠchtigung schutzwÿrdiger Belange bei Mi brauch dieser Daten in 5 Schutzstufen untergliedert. Bei der Klassifizierung sind Datenfelder niemals einzeln zu bewerten. Die Betrachtung ist vielmehr auf die gesamte Datei, ggf. auch auf die unmittelbar verknÿpfbaren DatenbestŠnde auszudehnen. Werden personenbezogene Daten unter einem Auswahlkriterium in eine Datei aufgenommen, das in der Datei nicht enthalten ist, so ist dieses Auswahlkriterium bei der Klassifizierung mit zu bewerten. Enthalten Dateien umfassende Angaben zu einer Person, so sind sie in eine hšhere Schutzstufe einzuordnen, als dies nach den Einzeldaten erforderlich wšre. Es werden folgende Schutzstufen unterschieden: Stufe A: Stufe B: Stufe C: Frei zugšngliche Daten, in die Einsicht gewšhrt wird, ohne da der Einsichtnehmende ein berechtigtes Interesse geltend machen mu, z.b. Adre bÿcher, Mitgliederverzeichnisse, Benutzerkataloge in Bibliotheken. Personenbezogene Daten, deren Mi brauch zwar keine besondere BeeintrŠchtigung erwarten lš t, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.b. beschršnkt zugšngliche šffentliche Dateien, Verteiler fÿr Unterlagen. Personenbezogene Daten, deren Mi brauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen VerhŠltnissen beeintršchtigen kann ("Ansehen"), z.b. Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten.

5 Stufe D: Stufe E: Personenbezogene Daten, deren Mi brauch die gesellschaftliche Stellung oder die wirtschaftlichen VerhŠltnisse des Betroffenen erheblich beeintršchtigen kann ("Existenz"), z.b. Unterbringung in Anstalten, StraffŠlligkeit, Ordnungswidrigkeiten schwerwiegender Art, dienstliche Beurteilungen, psychologischmedizinische Untersuchungsergebnisse, Schulden, PfŠndungen, Konkurse. Daten, deren Mi brauch Gesundheit, Leben oder Freiheit des Betroffenen beeintršchtigen kann, z.b. Daten Ÿber Personen, die mšgliche Opfer einer strafbaren Handlung sein kšnnen. Falls die SensitivitŠt nicht bekannt ist, ist von der hšchsten SensitivitŠtsstufe auszugehen. Denkbar ist auch, da der Schutz empfindlicher Firmendaten ohne Personenbezug die Einstufung bestimmt. Ebenso sollte mit einbezogen werden, inwieweit Au enstehende oder eigene Mitarbeiter ein (kriminelles) Interesse an den zu schÿtzenden Daten haben kšnnten. Die SensitivitŠtskriterien kommen sinngemš auch zur Anwendung, wenn es sich um Datensicherungsma nahmen zu vollstšndigen Dateiverzeichnissen, Rechnern oder Netzwerken handelt. So mu sich der Systempa wortschutz oder die Systemprotokollierung nach den sensitivsten Daten richten, die in dem System verarbeitet werden, das mit dem Pa - wort zugšnglich ist. Daten der SensitivitŠtsstufe E erfordern eine sehr restriktive Handhabung; Vernetzungen sind nur in deutlich eingeschršnktem Ma e akzeptabel. Eine Verarbeitung dieser Daten unter NOVELL ist daher nur in sorgfšltig begrÿndeten AusnahmefŠllen zulšssig. Die im NOVELL-Netz vorhandenen Dateien sind nach ihrer SensivitŠt der O Stufe A O Stufe B O Stufe C O Stufe D O Stufe E zuzuordnen (Zutreffendes bitte ankreuzen).

6 4. Systemverwaltung 4.1 Benutzerklassen FŸr den Systemadministrator eines NOVELL-Netzes existiert zur AusfŸhrung seiner TŠtigkeiten zur Verwaltung des Netzwerkes die Kennung "Supervisor". In kleineren Netzen mit nur einem Systemadministrator arbeitet dieser unter der Kennung "Supervisor". Bei gro en Netzen mit mšglicherweise mehreren Systemadministratoren bietet es sich an fÿr jeden Systemadministrator eine Benutzerkennung, fÿr die eine Sicherheitsgleichsetzung mit der Supervisor-Kennung erfolgte, einzurichten und die Supervisor-Kennung nur in NotfŠllen zu gebrauchen. Der Systemadministrator, der unter der Supervisor-Kennung oder einer sicherheitsgleichgesetzten Kennung arbeitet, verfÿgt in allen Verzeichnissen Ÿber alle Rechte; diese Rechte kšnnen nicht widerrufen werden. Er kann z. B. alle Programme und Dateien lesen und ver- Šndern, in die Zugriffsmechanismen und Ein- und Ausgabeprozesse des Betriebssystems eingreifen sowie ohne jegliche Protokollierung arbeiten. Ihm obliegt au erdem die Erstellung von Benutzern, die Zugriff auf den NOVELL-Netware-Fileserver haben, und die Vergabe von Berechtigungen fÿr die einzelnen Benutzer. Der Systemadministrator ist somit fast unkontrollierbar. Daraus ergeben sich folgende Risiken: 1. Der Systemadministrator oder jede andere Person mit entsprechenden Rechten kann die umfassenden Berechtigungen fÿr unlautere bzw. datenschutzrechtlich bedenkliche Zugriffe und Manipulationen der Programme oder Daten nutzen. 2. Fehler des Systemadministrators kšnnen weitreichende unerwÿnschte Konsequenzen haben. Der Systemadministrator kann nach Bedarf ZustŠndigkeiten im Bereich der Systemverwaltung an Benutzer, sog. Verwalter, delegieren: - Arbeitsgruppenverwalter = Workgroup Manager, ein eingeschršnkter Netzwerk- Supervisor mit Rechten zum Erstellen und Lšschen von Benutzern und Gruppen und zum Verwalten der Benutzerkonten in dem vom Supervisor zugewiesenen Rahmen. Arbeitsgruppenverwalter kšnnen keine anderen Arbeitsgruppenverwalter erstellen oder einen Benutzer erstellen und ihm eine Sicherheitsgleichsetzung mit dem Supervisor geben. (SYSCON / Supervisor Options / Workgroup Managers) - Benutzerkontenverwalter = User Account Manager, ein Benutzer oder Gruppenmitglied mit Rechten zum Verwalten bestimmter Benutzerkonten. Erfahrene Benutzer kšnnen als Benutzerkontenverwalter besonders in gro en Systemen Routineaufgaben Ÿbernehmen, wie z. B. das Zuordnen von Benutzern zu neuen Gruppen, die BeschrŠnkung der Anmeldung fÿr Benutzer oder die Vorgabe von KontostŠnden bei eingerichteter KontofŸhrungsfunktion. Arbeitsgruppenverwalter werden automatisch auch Benutzerkontenverwalter fÿr Benutzer, die sie erstellen. (SYSCON / User oder Group Information / Managed Users and Groups; SYSCON / User oder Group Information / Managers) Die Verwalter mÿssen vom Systemadministrator Dateirechte erhalten um Verzeichnis- und Dateirechte zu vergeben (z. B. das Recht SUPERVISORY fÿr das Verzeichnis der vom Arbeitsgruppenverwalter verwalteten Gruppe) Die Weitergabe von Rechten an einen Arbeits-

7 gruppen- oder Benutzerkontenverwalter mu sorgfšltig geprÿft werden und sollte nur in grš eren Systemen mit mindestens 20 Benutzern erfolgen. Sie ist zu dokumentieren und so zu handhaben, da nicht die Kontrolle Ÿber das System verloren geht. Zur Vereinfachung und Ÿbersichtlicheren Gestaltung der Netzwerkverwaltung sollten vom Systemadministrator Gruppen = Groups fÿr zusammengehšrige Netzwerkbenutzer, die Anwendungsprogramme gemeinsam benutzen, Šhnliche Aufgaben ausfÿhren oder Šhnliche Informationen benštigen, eingerichtet werden. Die Rechte fÿr die einzelnen Benutzer, die Mitglied in der Gruppe sind, mÿssen dann nur einmal pro Gruppe vergeben und gepflegt werden. Es empfiehlt sich den einzelnen Gruppen ein separates Volume oder Verzeichnis zuzuweisen. (SYSCON / Group Information / Member List - Anzeige eine Liste der vorhandenen Gruppen und ihrer Mitglieder) 4.2 Systemadministrator (Dieses Kapitel sollte nicht von dem Systemadministrator allein sondern zusammen mit dem Datenschutzbeauftragten oder einem Vorgesetzten ausgefÿllt werden) Arbeitsgruppenverwalter fungieren als Hilfs-Systemadministratoren und mÿssen dementsprechend dieselben Anforderungen wie ein Systemadministrator erfÿllen. Eine Gruppe ist nicht mit den Rechten eines Arbeitsgruppenverwalters auszustatten. Anzahl der Teilnehmer im Netz: Anzahl der Systemadministratoren: Anzahl der Arbeitsgruppenverwalter: (Arbeitsgebiete s. Dokumentation) Bei kleineren Systemen mit weniger als 20 Teilnehmern und Daten der Stufen A bis D gibt es einen Systemadministrator und mindestens eine Vertretung. Im Vertretungsfall wird das Pa wort fÿr die Supervisor-Kennung vom Systemadministrator an den Vertreter weitergegeben. Nach Beendigung der Vertretung wird das Pa wort fÿr die Supervisor-Kennung gešndert. Bei grš eren Systemen mit mindestens 20 Teilnehmern und Daten der Stufen A bis D ist auch die Einrichtung von weiteren Systemadministratoren oder Arbeitsgruppenverwaltern denkbar, wobei deren Anzahl der Systemgrš e angepa t ist, d. h. maximal ein weiterer Systemadministrator bzw. ein Arbeitsgruppenverwalter fÿr 20 Teilnehmer vorhanden ist. Arbeitsgruppenverwalter werden vom Systemadministrator vertreten. Sind mehrere Systemadministratoren vorhanden, so vertreten diese sich untereinander. Bei Systemen mit Daten der Stufe E sind grundsštzlich mindestens zwei Systemadministratoren zur DurchfŸhrung des 4-Augen-Prinzips (s ) zu benennen.

8 Die Zuweisung der Systemadministrator-Funktion erfolgte schriftlich (z. B. im GeschŠftsverteilungsplan) Der Systemadministrator und die Vertretung sind nicht der interne Datenschutzbeauftragte Die Auswahl des Systemadministrators und der Vertretung erfolgte sorgfšltig nach Fachkunde (EDV-Wissen, betriebsspezifische Kenntnisse) und ZuverlŠssigkeit (persšnliche IntegritŠt) Der Systemadministrator und die Vertretung sind auf das Datengeheimnis verpflichtet worden ( 5 BDSG) bzw. darÿber belehrt worden ( 5 NDSG) Der Systemadministrator hat einen NOVELL-Lehrgang oder eine gleichwertige Ausbildung absolviert Der Systemadministrator und die Vertretung haben eine mehrjšhrige berufliche Praxis im Umgang mit Betriebssystemen Der Systemadministrator arbeitet regelmš ig im NOVELL-Bereich (bei grš eren Netzen tšglich). Gleiches gilt fÿr die Vertretung (z. B. in der Programmierung) Dem Systemadministrator steht genÿgend Zeit zur VerfŸgung, um Ma nahmen zur Datensicherung und zur Datenschutzkontrolle in ausreichendem Ma und mit ausreichender Sorgfalt in Zusammenarbeit mit dem Fachbereich zu planen und durchzufÿhren.

9 Es gibt eine strikte Funktionstrennung zwischen der Systemadministration und der Verarbeitung personenbezogener Daten in den jeweiligen Anwendungen Der Systemadministrator und die Vertretung haben neben der Supervisor-Kennung jeweils eine "gewšhnliche" persšnliche Benutzer-Kennung, unter der Standardaufgaben durchgefÿhrt werden Der Systemadministrator und die Vertretung arbeiten nur dann unter der Supervisor- Kennung, wenn die Supervisor-Rechte benštigt werden. SpŠtestens ab Vorhandensein von Daten der Stufe D bedeutet dies, da nur in AusnahmefŠllen mit Supervisor-Rechten gearbeitet wird Die Befugnisse und Verpflichtungen des Systemadministrators und der Vertretung sind in einer Dienstanweisung schriftlich festgehalten Die Supervisor-Kennung ist in AbhŠngigkeit von der Grš e und der ršumlichen Ausdehnung des Netzes auf die notwendige Anzahl von Arbeitsstationen (Netzwerkadressen) beschršnkt. (SYSCON / User Information / Supervisor / Station Restrictions / Allowed Login Adresses = Netzadressen der Arbeitsplatzrechner; keine Angabe = Anmeldung Ÿberall mšglich) Anm.: Keinem "normalen" Benutzer sind im Wege einer Sicherheitsgleichsetzung Supervisor-Befugnisse eingeršumt worden. (Ausnahme fÿr NotfŠlle s ). (SYSCON / User Information / Security Equivalences oder Befehl: "SECURITY MORE")

10 Der Systemadministrator hat eine Zugangsmšglichkeit zum System fÿr den Notfall, wenn die Supervisor-Kennung von einem Eindringling gesperrt wird (s ). Er hat hierzu eine fiktive Benutzerkennung mit einem nicht zu erratenden aber einpršgsamen Namen eingerichtet und diesem fiktiven Benutzer eine Sicherheitsgleichsetzung mit der Supervisor- Kennung gegeben. Dies ist nicht erforderlich, wenn in grš eren Systemen mehrere Systemadministratoren vorhanden sind, die jeweils unter einer Kennung arbeiten, fÿr die eine Sicherheitsgleichsetzung mit der Supervisor-Kennung erfolgte (s ) Pa wort fÿr die Kennung des Systemadministrators / Arbeitsgruppenverwalters An die Handhabung des Pa wortes fÿr die Supervisor-Kennung, sicherheitsgleichgesetzter Kennungen und die Kennung eines Arbeitsgruppenverwalters sind aufgrund der umfangreichen Befugnisse, die mit der Kenntnis dieses Pa wortes verbunden sind, sehr hohe Anforderungen zu stellen. Es sind deshalb neben den in Kapitel 4.4 genannten grundsštzlichen Anforderungen an die Vergabe eines Pa wortes folgende weitere Punkte zu beachten: Bei Daten der Stufen A - D: Das Pa wort ist nur dem Systemadministrator bekannt. Er teilt seiner Vertretung das Supervisor-Pa wort nur im Ausnahmefall mit. Bei Daten der Stufe E: Der Systemadministrator und die Vertretung haben eine gemeinsame Supervisor-Kennung mit einem zweigeteilten Pa wort, von dem jedem nur eine HŠlfte bekannt ist. Supervisor- Funktionen kšnnen nur gemeinsam ausgefÿhrt werden, so da eine gegenseitige Kontrolle erfolgt (4-Augen-Prinzip) Wurde das Pa wort anlš lich eines Ausnahmefalles weitergegeben, so wird es nach Beendigung des Ausnahmefalles sofort gešndert Das komplette Pa wort ist fÿr den Ausnahmefall versiegelt an einem sicheren Ort (z.b. Tresor) hinterlegt.

11 4.3 Benutzerkontenverwalter (Dieses Kapitel sollte vom Benutzerkontenverwalter zusammen mit dem Datenschutzbeauftragten und/oder dem Systemadministrator ausgefÿllt werden) Anzahl der Benutzerkontenverwalter: (Arbeitsgebiete s. Dokumentation) Bei grš eren Systemen mit mindestens 20 Teilnehmern und Daten der Stufen A bis D ist auch die Einrichtung von Benutzerkontenverwaltern denkbar. Die Anzahl ist der Systemgrš e angepa t, d. h. maximal ein Benutzerkontenverwalter fÿr 20 Teilnehmer, wenn es keine Arbeitsgruppenverwalter gibt. Die Benutzerkontenverwalter werden vom Systemadministrator vertreten Die Zuweisung der Benutzerkontenverwalter-Funktion erfolgte schriftlich (z. B. im GeschŠftsverteilungsplan) Die Auswahl des Benutzerkontenverwalters erfolgte sorgfšltig nach Fachkunde (EDV-Wissen, betriebsspezifische Kenntnisse) und ZuverlŠssigkeit (persšnliche IntegritŠt) Der Benutzerkontenverwalter ist auf das Datengeheimnis verpflichtet ( Ê5ÊBDSG) bzw. darÿber belehrt worden ( 5 NDSG) Alle Benutzerkontenverwalter sind ausfÿhrlich in das Verfahren der Rechtevergabe eingewiesen und Ÿber die Bedeutung ihrer Aufgabe fÿr die Sicherheit des Systems unterrichtet worden Allen Benutzerkontenverwaltern sind nur die fÿr die ErfŸllung ihrer Aufgaben unbedingt erforderlichen Rechte vom Systemverwalter Ÿbertragen worden.

12 Alle Benutzerkontenverwalter haben lediglich die Befugnis, Datei-/Verzeichnisrechte sowie Benutzerrechte fÿr Ihren Bereich zu vergeben. Sie haben jedoch keine Supervisor- Rechte an den Ihnen zur Verwaltung Ÿbertragenen Verzeichnissen erhalten (vgl. KapitelÊ5). (Verzeichnisrechte nur (A)ccess Control, nicht (S)upervisory) Kein Benutzerkontenverwalter hat die Berechtigung zur nderung der Datei- /Verzeichnisrechte und Benutzerrechte an einen von ihm verwalteten Benutzer weitergegeben. ( (A)ccess Control nicht fÿr normale Benutzer) Der Benutzerkontenverwalter hat jeweils eine "gewšhnliche" persšnliche Benutzer- Kennung, unter der die normalen Arbeiten durchgefÿhrt werden Die Benutzerkontenverwalter-Kennung ist auf maximal zwei Arbeitsstationen (Netzwerkadressen) beschršnkt. (SYSCON / User Information / Station Restrictions) Anm.: Das Pa wort fÿr die Benutzerkontenverwalter-Kennung ist nur dem Benutzerkontenverwalter bekannt Keinem "normalen" Benutzer sind im Wege einer Sicherheitsgleichsetzung Benutzerkontenverwalter-Befugnisse eingeršumt worden. (SYSCON / User Information / Security Equivalences oder Befehl: "SECURITY MORE")

13 4.4 Anmeldung an den NOVELL-Fileserver Alle Benutzer - auch der Systemadministrator, die Arbeitsgruppen- und die Benutzerkontenverwalter - mÿssen bestimmte Regeln bei der Anmeldung an den NOVELL-NetWare- Fileserver einhalten. Dadurch wird sichergestellt, da nur berechtigte Benutzer Zugriff auf die personenbezogenen Daten haben. Die Regeln zur Anmeldung kšnnen auf organisatorischem und ggf. auf technischem Wege festgelegt werden. Die Erzwingung der Einhaltung dieser Regeln durch technische Vorgaben ist grundsštzlich der sicherere Weg. Sobald die Erzwingung durch Vorgaben unter dem NOVELL-NetWare-Basissystem mšglich ist, sollte deshalb von dieser Mšglichkeit Gebrauch gemacht werden. Dies gilt insbesondere fÿr die Verarbeitung von personenbezogenen Daten ab der Schutzstufe C. Wenn die technische berwachung nicht durch entsprechende Parameterangabe fÿr das NOVELL-NetWare- Basissystem mšglich ist, aus Datensicherungsaspekten jedoch erforderlich ist, befindet sich bei der Frage ein Hinweis auf eine erforderliche Erweiterung durch NLM«s oder andere zusštzlich zu beschaffende Sicherheitssoftware Eindringlings-Erkennungs-/Sperrfunktion - standardmš ig fÿr alle Benutzer - (SYSCON / Supervisor Options / Intruder Detection/Lockout) Sobald ein Eindringling erfolglose Anmeldeversuche unter einer Kennung mit einem ungÿltigen Pa wort vornimmt, wird der Fileserver nach berschreitung der vorgegebenen Anzahl fehlerhafter Anmeldeversuche fÿr diese Kennung fÿr die angegebene Zeit gesperrt. Der Systemadministrator kann Ÿber "SYSCON / User Information / Intruder Lockout Status" erkennen, ob fÿr ein Benutzerkonto unberechtigte Anmeldeversuche vorgenommen wurden, und eine vorhandene Sperre aufheben. Die Sperrung des Benutzerkontos wird im Fehlerprotokoll des Systems (System Error Log) festgehalten. Parameter Ist Soll Detect Intruders (Eindringlings-Erkennungs-Funktion ja/nein) Incorrect Login Attempts (Anzahl der zulšssigen fehlerhaften Anmeldeversuche...) Bad Login Count Retention Time (... innerhalb der angegebenen Zeit ausgehend vom letzten fehlerhaften Versuch) Lock Account After Detection (Sperre-Funktion ja/nein) Length of Account Lockout (Dauer der Sperre) Yes max. 5 mind. 1 Stunde Yes mind. 1 Stunde

14 ZugriffsbeschrŠnkungen - standardmš ig fÿr alle neuen Benutzer - (SYSCON / Supervisor Options / Default Account Balance/Restrictions) Parameter Ist Soll Account Has Expiration Date (Der Benutzer soll sich nur fÿr eine begrenzte Zeit anmelden kšnnen ja/nein, z.b. befristeter Arbeitsvertrag, Versetzung, Praktikum) Date Account Expires (nach dem angegebenen Datum ist keine Anmeldung mehr mšglich) Limit Concurrent Connections (Festlegung, ob ein Benutzer sich vor Anmeldung an einem anderen Arbeitsplatzrechner abmelden mu ja/nein) Maximum Connections: (Angabe der max. Anzahl gleichzeitiger Verbindungen bei Eingabe von "Yes") Require Password (Pa wort fÿr den Benutzer ja/nein) Minimum Password Length (Minimale Pa wortlšnge) Force Period Password Changes (Periodische Pa wort- nderungen ja/nein) Days Between Forced Changes / Date Password Expires (Eingabe der Anzahl der Tage, nach denen ein Pa wortwechsel erzwungen wird sowie automatische Anzeige des Ablaufdatums) Limit Grace Logins (Begrenzung der Anmeldungsversuche mit einem abgelaufenen Pa wort) Grace Logins Allowed / Remaining Grace Logins (Anzahl der zulšssigen Anmeldeversuche mit einem abgelaufenen Pa wort sowie Anzeige der verbleibenden noch zulšssigen Anmeldeversuche) Require Unique Passwords (Eindeutiges Pa wort ja/nein; es werden die letzten 10 Pa wšrter, die mind. 1 Tag benutzt wurden, gespeichert) No Yes 1 Yes mind. 6 Yes 180 Tage Yes 3 Yes

15 Die Standardeinstellungen des Systems in der oben aufgefÿhrten und der unter Punkt dargestellten Eingabemaske zur ZugriffsbeschrŠnkungen sind aus datenschutzrechtlicher Sicht unzureichend (z. B. Require Password = NO) und daher stets zu Šndern. Sind in der oben aufgefÿhrten Eingabemaske Festlegungen zur ZugriffsbeschrŠnkung fÿr alle Benutzer vorgenommen worden, so werden diese standardmš ig fÿr alle Benutzer, die nach der Festlegung eingerichtet werden, Ÿbernommen. Benutzerkonten, die vor der Standardfestlegung eingerichtet wurden, sind nachtršglich einzeln an die Standardfestlegungen anzupassen (s. Punkt 4.4.3). Sollen fÿr einzelne Benutzer die Standardfestlegungen nicht gelten, so kšnnen die Abweichungen Ÿber die unter Punkt aufgefÿhrte Maske eingegeben werden. Abweichungen sind zu begrÿnden und zu dokumentieren. Die Eingabe eines Pa wortes bei Anmeldung an den Fileserver erfolgt grundsštzlich dunkelgesteuert. Das Pa wort wird verschlÿsselt gespeichert. Der Benutzer wird bei erstmaliger Anmeldung vom System aufgefordert sein Pa wort zu Šndern, sofern der Parameter "Force Period Password Changes" = "Yes" ist.

16 ZugriffsbeschrŠnkungen fÿr die einzelnen Benutzer (SYSCON / User Information / Account Restrictions) Parameter Ist Soll Account Disabled (Zeitweise Sperrung des Benutzers ohne Verlust der Einstellungen ja/nein) Account Has Expiration Date (Der Benutzer soll sich nur fÿr eine begrenzte Zeit anmelden kšnnen ja/nein, z.b. befristeter Arbeitsvertrag, Versetzung, Praktikum) Date Account Expires (nach dem angegebenen Datum ist keine Anmeldung mehr mšglich) Limit Concurrent Connections (Festlegung, ob ein Benutzer sich vor Anmeldung an einem anderen Arbeitsplatzrechner abmelden mu ja/nein) Maximum Connections: (Angabe der max. Anzahl gleichzeitiger Verbindungen bei Eingabe von "Yes") Allow User To Change Password (Erlaubnis fÿr den Benutzer sein Pa wort selbst zu Šndern ja/nein) Require Password (Pa wort fÿr den Benutzer ja/nein) Minimum Password Length (Minimale Pa wortlšnge) Force Period Password Changes (Periodische Pa wort- nderungen ja/nein) Days Between Forced Changes / Date Password Expires (Eingabe der Anzahl der Tage nach denen ein Pa wortwechsel erzwungen wird sowie automatische Anzeige des Ablaufdatums) Limit Grace Logins (Begrenzung der Anmeldungsversuche mit einem abgelaufenen Pa wort) Grace Logins Allowed / Remaining Grace Logins (Anzahl der zulšssigen Anmeldeversuche mit einem abgelaufenen Pa wort sowie Anzeige der verbleibenden noch zulšssigen Anmeldeversuche) Require Unique Passwords (Eindeutiges Pa wort ja/nein; es werden die letzten 10 Pa wšrter, die mind. 1 Tag benutzt wurden, gespeichert) Yes = bei lšngerer Abwesenheit Yes mit Datum = bei offensichtlich befristeter TŠtigkeit Yes 1 Yes Yes mind. 6 Yes 180 Tage Yes 3 Yes

17 Trivialpa wšrter (z.b. Vornamen, Geburtsdaten, Dienstnummern oder generell unveršnderte Wšrter aus dem Lexikon) dÿrfen nicht verwendet werden. Dies ist in der Dienstanweisung festgelegt. Ab Daten der Stufe D: Trivialpa wšrter werden technisch ausgeschlossen Eine Zeichenmischung ist vorgeschrieben. Dies ist in einer Dienstanweisung festgelegt. Ab Daten der Stufe D: Eine Mischung von Zeichen wird technisch erzwungen Die Pa wortregeln sind in einer schriftlichen, allen Benutzern bekannten Dienstanweisung festgelegt. Hier sind u.a. folgende Punkte aufgefÿhrt: Pa wšrter niemandem mitteilen (bis auf Vertretung); Pa wšrter nicht aufschreiben (Ausnahme: z.b. sichere Hinterlegung des Supervisor-Pa wortes); Hilfe zur Auswahl guter Pa wšrter (z.b. jeder x-te Buchstabe eines einpršgsamen Satzes, Liedes oder o.š. und ein bestimmtes Sonderzeichen sowie eine Zahl an einer bestimmten Stelle des Pa wortes); bei Neueinrichtung eines Arbeitsplatzes sofort neues Pa wort vergeben FŸr Tageszeiten, zu denen sich mit Gewi heit kein Benutzer an den Fileserver anmelden wird, ist die Anmeldung durch Vorgabe einer Standard-ZeitbeschrŠnkung ausgeschlossen. (SYSCON / Supervisor Options / Default Time Restrictions; mšgliche Anmeldezeiten = *) Ab Daten der Stufe D: Es ist standardmš ig vorgegeben, an welchen Tagen der Woche der Benutzer sich zu welchen Zeiten (halbstundenweise Vorgabe) an den Fileserver anmelden darf. Die vorgegebene Standard-ZeitbeschrŠnkung entspricht der allgemeinen Arbeitszeit. Die eingestellte Standard-ZeitbeschrŠnkung wird automatisch Ÿbernommen bei Neueinrichtung eines Benutzers. Ausnahmen fÿr einzelne Benutzer werden speziell eingegeben. (SYSCON / Supervisor Options / Default Time Restrictions; mšgliche Anmeldezeiten = *)

18 Da aufgrund sehr unterschiedlicher Arbeitszeiten der einzelnen Benutzer die Einstellung einer Standard-ZeitbeschrŠnkung nicht mšglich ist, wurde fÿr die Benutzer einzeln festgelegt an welchen Tagen der Woche sie sich zu welchen Zeiten an den Fileserver anmelden dÿrfen. (SYSCON / User Information / Time Restrictions; mšgliche Anmeldezeiten = *) FŸr jeden Benutzer existiert ein Login-Script. In dem Login-Script sind die Aktionenfestgelegt, die auszufÿhren sind, sobald sich der Benutzer an den Fileserver anmeldet. Die Aktione dienen der Vorbereitung seiner speziellen Anwendung. Existiert fÿr einen Benutzer kein Login-Script, so kann jeder Benutzer fÿr diesen Benutzer ein Login-Script mit beliebigem und aus Datensicherheitssicht bedenklichem Inhalt erstellen. Er kann z. B. durch Aufruf eines kleinen Programmes das Pa wort des Benutzers ausforschen. (SYSCON / User Information / Login Script oder Befehl: SECURITY /C)

19 5. Dateiverwaltung 5.1 Rechte und Attribute zur BeschrŠnkung des Zugriffs auf Dateien und Verzeichnisse Rechte Rechte gelten fÿr einzelne Benutzer oder Benutzergruppen. Sie legen fest, auf welche Verzeichnisse, Unterverzeichnisse und Dateien zugegriffen werden darf und welche Aufgaben in diesen Verzeichnissen, Unterverzeichnissen und Dateien ausgefÿhrt werden dÿrfen. Der Systemadministrator verfÿgt Ÿber alle Rechte in allen Verzeichnissen und Dateien und kann diese Rechte beliebig zuteilen und Šndern. Bei der Erstellung von Benutzern werden diese automatisch Mitglieder der Gruppe EVERYONE und erhalten alle Rechte dieser Gruppe. Die Rechte eines Benutzers oder einer Gruppe fÿr ein Verzeichnis oder eine Datei bezeichnet man als Trustee-Zuordnungen. Trustee-Zuordnungen fÿr einzelne Benutzer oder Gruppen gelten auf allen Ebenen der Verzeichnisstruktur unterhalb des betreffenden Verzeichnisses, es sei denn, auf unterer Ebene der Verzeichnisstruktur werden andere Trustee-Zuordnungen vorgenommen, oder die Inherited Rights Mask eines Unterverzeichnisses widerruft Rechte die in einer Trustee-Zuordnung erteilt wurden. (SYSCON / User Information / Trustee Directory Assignments; SYSCON / Group Information / Trustee Directory Assignments; SYSCON / User Information / Trustee File Assignments; SYSCON / Group Information / Trustee File Assignments; FILER / Current Directory Information / Trustees - fÿr Benutzer mit dem Recht [A]) Jede Datei und jedes Verzeichnis erhšlt bei der Erstellung eine Inherited Rights Mask (IRM). Die Standardform der IRM beinhaltet alle Rechte. Sie kann durch den Supervisor oder einen Benutzer mit dem Recht "Access Control" modifiziert werden. Die IRM eines Verzeichnisses steuert, welche im Ÿbergeordneten Verzeichnis zugeordneten Rechte auch im aktuellen Verzeichnis ausgeÿbt werden kšnnen. Die IRM einer Datei steuert, welche im aktuellen Verzeichnis erteilten Rechte in der Datei ausgeÿbt werden kšnnen. (FILER / Current Directory Information / Inherited Rights Mask)

20 In Trustee-Zuordnungen und IRM kšnnen folgende Rechte festgelegt werden: Rechte Abk. Beschreibung Access control [A] nderung von Trustee-Zuordnungen anderer Benutzer, nderung der Inherit Rights Mask eines Verzeichnisses (ausgenommen Supervisory-Rechte) Create [C] Erstellung von Verzeichnissen und Dateien (ohne Lese-/ Schreibberechtigung nach Erstellung), Wiederherstellung von mit DELETE gelšschten Dateien Erase [E] Lšschung von Verzeichnissen (mit Unterverzeichnissen) und Dateien File Scan [F] Anzeige von Dateien und Unterverzeichnissen in einem Verzeichnis Modify [M] nderung von Namen und Attributen von Verzeichnissen und Dateien Read [R] ffnen und Lesen von Dateien (bei Programmen AusfŸhrung) Supervisory [S] Alle Rechte fÿr eine Datei oder ein Verzeichnis; ACHTUNG: Dieses Recht setzt sich auch Ÿber Dateiattribute und die in der Inherits Rights Mask fÿr eine Datei oder ein Verzeichnis festgelegten Rechte hinweg! Write [W] ffnen und Schreiben in Dateien (auf Verzeichnisebene - in allen Dateien des Verzeichnisses) Die effektiven Rechte eines Benutzers oder einer Gruppe, d. h. die fÿr einen Benutzer oder eine Gruppe beim Zugriff auf ein Verzeichnis oder eine Datei tatsšchlich ausÿbbaren Rechte, ergeben sich aus der Kombination von Trustee-Zuordnungen und Inherited Rights Mask (IRM). Um einen bestimmtes Zugriffsrecht auf eine Datei oder ein Verzeichnis zu haben, mu der Benutzer oder die Gruppe ein entsprechendes Recht durch die Trustee- Zuordnung und durch die IRM erhalten. Zur ErlŠuterung soll das folgende Beispiel fÿr die effektiven Rechte eines Benutzers dienen: Trustee-Zuordnung des Benutzers W E M A Trustee-Zuordnung der Gruppe, der R F der Benutzer angehšrt IRM R W C F Effektive Rechte R W F Einzelheiten zur Bestimmung von effektiven Rechten sind in dem NOVELL-NetWare- Handbuch 'BegriffserklŠrungen' unter dem Begriff ÔSecurityÕ beschrieben. Eine detaillierte Kenntnis ist Voraussetzung fÿr die Wahrnehmung von Funktionen im Zusammenhang mit der Rechte- und Attributverwaltung. (Befehl: WHOAMI /ALL fÿr den angemeldeten Benutzer und Befehl: RIGHTS [Pfad] zur Anzeige der effektiven Rechte eines Benutzers)

21 Attribute Attribute gelten fÿr Verzeichnisse, Unterverzeichnisse und Dateien. Sie legen fest, ob die Verzeichnisse und Dateien angezeigt, gešndert, gemeinsam benutzt, umbenannt oder gelšscht werden dÿrfen. Attribute haben Vorrang vor Rechten. Sie setzen daher auch effektive Rechte au er Kraft. Die Vergabe ist nur fÿr einzelne Dateien mšglich. Ein Verzeichnis stellt dabei ausdrÿcklich eine Datei dar; die Attribute gelten daher nicht automatisch fÿr die in dem Verzeichnis befindlichen Dateien. Attribute Abk. Beschreibung Archive needed [A] Datei wurde seit der letzten Sicherung gešndert. Attribut wird automatisch vergeben. Copy inhibit [C] Datei kann von Macintosh- Benutzern nicht kopiert werden. Delete inhibit [D] Datei kann nicht gelšscht werden. Execute only [X] Eine ausfÿhrbare Datei (.EXE,.COM) kann nicht kopiert oder gesichert werden. Hidden [H] Datei wird bei DIR-Kommandos nicht angezeigt. Indexed [I] Ermšglicht einen schnellen Zugriff auf gro e Dateien. Purge [P] Datei wird unmittelbar nach dem Lšschen Ÿberschrieben, d.h. physikalisch gelšscht. Read Only / Read Write [Ro/ Rw] Datei darf vom Benutzer gešndert bzw. nicht gešndert werden. Rename Inhibit [R] Datei darf nicht umbenannt werden. Sharable [S] Auf die Datei kann von mehreren Benutzern gleichzeitig zugegriffen werden (i. d. Regel zusammen mit Read Only). System [Sy] Datei wird als Systemdatei behandelt (versteckt, schreibgeschÿtzt, usw.) Transactional [T] Datei wird in das TTS (Transaktionsschutz-System) einbezogen. Es wird die BeschŠdigung von Datenbankanwendungen verhindert, indem Transaktionen zurÿckgenommen werden, die durch den Fehler einer Netzwerkkomponente nicht korrekt abgeschlossen wurden. Die Datenbank wird in den Zustand vor der Transaktion zurÿckversetzt. (evtl. Performanceverlust) FŸr Verzeichnisse sind nur die Attribute [D, H, P, R, Sy] relevant.

22 Die Kontrolle aller vergebenen Rechte und Attribute ist in den meisten NOVELL-NetWare- Systemen sehr aufwendig. Deshalb ist eine abgestufte PrŸfung zu empfehlen. FŸr Stufe A, B und C reichen Stichproben, bei Stufe D sollte eine weitgehend vollstšndige Kontrolle durchgefÿhrt werden. Bei der Stufe E ist eine grÿndliche Kontrolle jeder einzelnen Datei notwendig. In diesem Sinne sind die folgenden Punkte zu verstehen Es liegt eine fachliche Beschreibung der Benutzer- und Benutzergruppenprofile mit den erforderlichen Zugriffsrechten vor. Diese fachliche Beschreibung ist vom Systemadministrator (oder dem Gruppenmanager) in eine entsprechende Verzeichnis- und Berechtigungsstruktur unter NOVELL NetWare umgesetzt worden Die NOVELL-Verzeichnis- und Berechtigungsstruktur ist schriftlich dokumentiert (Bindery) In allen Verzeichnissen und Dateien werden die vergebenen Rechte und Attribute je nach SensitivitŠt der Daten bzw. bei Programmdateien nach funktioneller Bedeutung in regelmš igen AbstŠnden ŸberprŸft. Bei falsch gesetzten Rechten oder Attributen findet eine ausfÿhrlichere berprÿfung und Korrektur statt Bei mehreren Benutzern mit gleichen Berechtigungen ist darauf zu achten, da nderungen in den Rechten fÿr alle Benutzer vollzogen werden. Benutzer mit gleichen Berechtigungen sind daher zu Benutzergruppen zusammengefa t Die Gleichstellung von Benutzern hinsichtlich ihrer Berechtigungen ist nicht nur durch die Einrichtung einer Benutzergruppe, sondern auch durch eine Kopplung an die Rechte eines anderen Benutzers mšglich. Die Kopplung an einen anderen Benutzer birgt jedoch das Risiko, da eine nderung bei einem Benutzer unbemerkt zu einer Rechteerweiterung bei einem anderen Benutzer fÿhrt. Eine Sicherheitsgleichsetzung von Benutzern ist daher nicht vorhanden. (SYSCON / User Information / Security Equivalences oder Befehl: WHOAMI /ALL)

23 Nur Systemadministratoren oder Arbeitsgruppenverwalter haben das Recht ÓSupervisoryÓ fÿr Verzeichnisse Nur Systemadministratoren, Arbeitsgruppenverwalter und Benutzerkontenverwalter haben das Recht ÓAccess ControlÓ um Benutzer zuzulassen, deren Rechte zu bearbeiten und Dateiverzeichnisrechte zu Šndern In Bereichen, in denen viele Benutzer Zugriff auf Dateien haben, sind Attribute gesetzt worden, so da z. B. eine versehentliche Lšschung durch den Systemadministrator nicht mšglich ist ohne vorherige AttributŠnderung FŸr Dateien mit sensiblen personenbezogenen Daten ist das Attribut ÓPurgeÓ gesetzt, so da eine physikalische Lšschung dieser Dateien durch berschreiben erfolgt.(evtl. AttributŠnderung von ÓDelet InhibitÓ -> ÓPurgeÓ) Datenbankdateien und Dateien mit sensiblen personenbezogenen Daten sind mit dem Attribut ÓTransactionalÓ vor BeschŠdigung bei nderung geschÿtzt. Das Transaction Tracking System (TTS) verhindert, da Dateien beschšdigt werden, indem es Transaktionen zurÿcknimmt, die durch den Fehler einer Netzwerkkomponente (Spannungsausfall, Hardware-, Softwarefehler etc.) nicht korrekt abgeschlossen wurden. Dadurch ist sichergestellt, da Transaktionen fÿr die mit dem Attribut "Transactional" versehene Datei entweder vollstšndig abgeschlossen oder Ÿberhaupt nicht vorgenommen werden Wichtige ausfÿhrbare Dateien sind mit dem Attribut "Execute Only" versehen worden, so da ein unbefugtes Kopieren dieser Dateien nicht mšglich ist. Eine Sicherungskopie der ausfÿhrbaren Datei wurde zuvor angelegt Wichtige Dateien (z. B. System-Login-Script, AUTOEXEC.BAT) sind vor unkontrollierten nderungen durch das Attribut "Read Only" schreibgeschÿtzt.

24 5.3 VerschlŸsselung Durch Fehler bei der Vergabe von Benutzer- und Gruppenberechtigungen und Dateiattributen besteht die Gefahr, da an sich geschÿtzte Dateien von Unbefugten gelesen oder manipuliert werden. In diesen FŠllen stellt eine VerschlŸsselung der Daten einen sinnvollen zusštzlichen Schutz vor unbefugten Zugriffen dar. Auch gegenÿber dem Systemadministrator, fÿr den keine EinschrŠnkung seiner umfassenden Rechte mšglich ist, besteht mit der VerschlŸsselung eine gewisse Schutzmšglichkeit. Der Systemadministrator kann verschlÿsselte Dateien zwar lšschen, aber nicht ohne weiteres lesen oder sinnvoll veršndern. Allerdings ist auch dieser Schutz vom Systemadministrator zu durchbrechen, da er einen Zugriff auf das VerschlŸsselungsprogramm selbst hat und dieses unter UmstŠnden manipulieren kann. Eine VerschlŸsselung von Verarbeitungsdaten ist unter NOVELL NetWare nicht vorgesehen. Sie kann damit nur durch den Einsatz von zusštzlicher Software erreicht werden. FŸr personenbezogene Daten der Stufe A - C kann auf eine VerschlŸsselung grundsštzlich verzichtet werden Bei Daten der Stufe D: Es ist fÿr jede Datei im Einzelfall zu prÿfen, ob auf eine VerschlŸsselung verzichtet werden kann. Welche Daten verschlÿsselt werden mÿssen, ist in einer Dienstanweisung festgelegt Bei Daten der Stufe D: Es ist grundsštzlich eine Software anzuschaffen, die eine VerschlŸsselung mit einem sicheren Algorithmus (z.b. DES) ermšglicht. Wenn nicht automatisch alles verschlÿsselt wird, hat dies der Benutzer zu veranlassen Bei Daten der Stufe E: Es wird automatisch eine VerschlŸsselung aller Daten vorgenommen.

25 5.4 Protokollierung Durch automatisierte Aufzeichnung von Protokolldaten wird die Datenverarbeitung nachprÿfbar und transparent gemacht; zugleich wird damit einer mi bršuchlichen Verwendung vorgebeugt, weil keiner darauf vertrauen kann, da Verstš e unentdeckt bleiben (dies gilt fÿr den Systemadministrator nur eingeschršnkt, da er im Prinzip in der Lage ist, Protokolldateien zu manipulieren). Protokollierung ist jedoch kein Selbstzweck, sondern ist nur sinnvoll und datenschutzrechtlich vertretbar, wenn die Protokolldaten auch tatsšchlich ausgewertet werden. Eine totale Registrierung aller BenutzeraktivitŠten kann aus Sicht des Datenschutzes sogar bedenklich sein, da auf diese Weise eine neue Sammlung personenbezogener Daten Ÿber betroffene BŸrger oder Mitarbeiter entsteht, die zu zweckfremder Nutzung reizt. Protokolldaten, die ausschlie lich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemš en Betriebs einer DV-Anlage gespeichert werden, dÿrfen nicht fÿr andere Zwecke verarbeitet werden. Protokollumfang, Kontrolldichte und Lšschungsfristen sind von der SensitivitŠt der jeweiligen Anwendung abhšngig. NOVELL NetWare bietet abgesehen von einem Fehlerprotokoll fÿr den Fileserver keine standardmš igen Funktionen zur Protokollierung von System- und BenutzeraktivitŠten. Das Fehlerprotokoll kann sich der Systemadministrator anzeigen lassen und lšschen (SYSCON / Supervisor Options / View File Server Error Log). Anhand des Fehlerprotokolls kann er erkennen, wann der Fileserver hoch- und heruntergefahren wurde. Sofern die KontofŸhrungsfunktion zur Berechnung von GebŸhren fÿr die Inanspruchnahme des Fileservers installiert ist (SYSCON / Accounting), kšnnen deren Protokoll-Dienstprogramme dazu benutzt werden, zu Ÿberwachen, wie oft sich die einzelnen Benutzer an- und abmelden (Befehl: PAUDIT /C). Bei Daten der Stufen A und B wird keine Protokollierung verlangt. Bei Daten der Stufe C und D mÿssen folgende Aktionen innerhalb des Systems technisch durch Zusatzprodukte protokolliert werden: Erfolgreiche und nicht erfolgreiche Login-Versuche mit Datum und Benutzerkennung Hoch- und Herunterfahren des Systems mit Datum/Uhrzeit Datum und Benutzerkennung bei Pa wortšnderungen

26 Bei Daten der Stufe E werden technisch zusštzlich protokolliert: Alle Lesezugriffe auf sensitive Datenfelder mit Datum und Benutzerkennung auf Anwendungsebene Alle Dateneingaben (Netzwerkadresse, Datum und Uhrzeit, Veranlasser, Grund, Datei, Ordnungs-Nr. des Datensatzes, Feldbezeichnung, VerŠnderungsprogramm) auf Anwendungsebene SŠmtliche Supervisor-AktivitŠten Aufbewahrung und Auswertung der Protokolldateien: Die Protokolleintragungen werden frÿhestens nach der Routinekontrolle, spštestens nach 1 Jahr gelšscht/vernichtet Die Protokolldateien kšnnen von ÓnormalenÓ Benutzern nicht eingesehen und nicht veršndert werden Protokolldateien werden mindestens wšchentlich, bei Daten der Stufe E tšglich, kontrolliert. Der interne Datenschutzbeauftragte nimmt gelegentlich an den Kontrollen teil. Ansonsten werden ihm AuffŠlligkeiten angezeigt Protokolldateien werden ausschlie lich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemš en Betriebs der Datenverarbeitungsanlage gespeichert. Sie werden nicht fÿr andere Zwecke verarbeitet oder genutzt.

27 Der Inhalt der Protokolle, sowie die Art und der zeitliche Abstand von Kontrollen, werden in einer Dienstanweisung festgelegt Es wird stichprobenartig untersucht, ob die Festlegungen in der Dienstanweisung eingehalten werden. AuffŠlligkeiten wird nachgegangen.

28 6. Systemeinstellungen 6.1 Parametereinstellungen Eine Vielzahl von Parametern, mit denen die Arbeitsweise von NOVELL-Netzwerken gesteuert wird, hat einen mittelbaren oder unmittelbaren Einflu auf die Sicherheit des Systems. Viele dieser Parameter sind mit einer Voreinstellung versehen und brauchen in der Regel nicht gešndert zu werden. Gleichwohl sind sie von Bedeutung, da durch geringfÿgige nderungen (gewollte oder ungewollte) Manipulationsmšglichkeiten entstehen. Die aktuellen Parametereinstellungen fÿr den Fileserver kann sich der Systemadministrator durch Eingabe des "SET"-Befehls an der Konsole und ggf. Auswahl der entsprechenden Parameterkategorie anzeigen lassen und auch Šndern Die Parameter-Einstellungen des Systems sind dokumentiert. Abweichungen von den Standardeinstellungen ( s. Handbuch "Systemverwaltung", Beschreibung zum Befehl "SET") sind besonders begrÿndet Der Parameter "Immediate Purge of Deletes Files = ON" deaktiviert alle NOVELL- Wiederherstellungsfunktionen fÿr gelšschte Dateien (z.b. Ÿber den Befehl "SALVAGE"). Die Speicherbereiche einer gelšschten Datei werden dabei vom Betriebssystem zwangsweise fÿr den nšchsten Schreibvorgang benutzt. Bei Daten der Stufen C bis E mu dieser Parameter = ON gesetzt sein. Bei Daten der Stufen A + B wird der Einsatz empfohlen. Wird der Parameter nicht gesetzt, sollten zumindest die Parameter "Minimum File Delete Time" und "File Delete Wait Time" mšglichst gering eingestellt werden. Parameterkategorie: File System; Parameter: Ist Soll Standard Immediate Purge of Deleted Files (Wiederherstellung von Dateien ja= OFF/nein=ON) Minimum File Delete Time (Minimalzeit fÿr die eine Datei in wiederherstellbarem Zustand gespeichert bleiben mu ) File Delete Wait Time (Zeitspanne nach der eine Datei zum engÿltigen Lšschen vorgesehen wird) ab Stufe C: ON bei Stufe A/B: mšglichst gering bei Stufe A/B: mšglichst gering OFF 1 Min. 5,9 Sek. (max. 7 Tage) 5 Min. 29,6 Sek. (max. 7 Tage)

29 Der Parameter "Allow Unencrypted Passwords = ON" ermšglicht eine unverschlÿsselte bertragung von Pa wšrtern im Netz. Diese Pa wšrter kšnnen abgehšrt werden. Parameterkategorie: Miscellaneous; Parameter: Ist Soll Standard Allow Unencrypted Passwords (VerschlŸsselte Pa wšrter = OFF) OFF OFF

30 6.2 Spezielle System-Kommandos (Konsolenbefehle) Der Befehl "REMOVE DOS" bewirkt das Entfernen von MS-DOS-Systemdateien aus dem Arbeitsspeicher des File-Servers. Damit kšnnen von den DOS-Laufwerken des Fileservers (Diskettenlaufwerke oder DOS-Partition auf der Festplatte) aus keine NLMÕs mehr geladen werden. Ein Laden von NLMÕs ist dann nur noch Ÿber die Netzlaufwerke des Fileservers mšglich. Ein Eindringling mu, um auf DOS zuzugreifen (z. B. zum unzulšssigen Kopieren von Daten mittels einer DOS-Datei), den Fileserver zunšchst aus- und wieder einschalten. Wenn der Fileserver durch ein Anmeldepa wort gesichert ist, kann der Eindringling dann immer noch nicht auf DOS zugreifen Mit dem Befehl "SEARCH" kšnnen Suchpfade fÿr NLMÕs angezeigt, hinzugefÿgt und gelšscht werden. Der Standard-Suchpfad ist SYS:SYSTEM. Zur Erhšhung der Systemsicherheit und aus GrŸnden der bersichtlichkeit sollten NLMÕs nur im Verzeichnis SYS:SYSTEM vorhanden sein. Der "SEARCH"-Befehl ist daher nicht einzusetzen bzw. durch den Konsolenbefehl "SECURE CONSOLE" (s ) zu deaktivieren Der Befehl "SECURE CONSOLE" bewirkt die explizite Umsetzung der Forderungen zu Nummer und Gleichzeitig wird verhindert, da ein anderer als der Systemadministrator (oder Konsoloperator) Datum und Uhrzeit des File-Servers Šndern kann, um ZeitbeschrŠnkungen zu umgehen. Der Befehl "SECURE CONSOLEÓ ist daher zu aktivieren Durch Aufruf des ladbaren Moduls "MONITOR" (LOAD MONITOR) und Auswahl der Option "Lock File Server Console" besteht die Mšglichkeit, die Konsoltastatur durch Eingabe eines Pa wortes zu sperren. Die Entsperrung ist dann nur durch Angabe dieses Pa - wortes mšglich. Diese Einstellung bietet einen Schutz gegen eine mi bršuchliche Bedienung des Fileservers wšhrend des normalen Betriebes. Gleiches gilt, wenn ein Arbeitsplatzrechner mit Hilfe des Befehls "RCONSOLE" als virtuelle Fileserver-Konsole genutzt wird (s ) Der Befehl "RCONSOLE" ermšglicht den Einsatz eines Arbeitsplatzrechners als virtuelle Fileserver-Konsole. Es kšnnen dann von diesem Arbeitsplatzrechner alle Konsolenbefehle ausgefÿhrt werden. Sofern die Konsole durch ein Pa wort geschÿtzt ist, ist auch am Arbeitsplatzrechner das Konsolenpa wort einzugeben (s ). Der Befehl "RCONSOLE" durchbricht unter UmstŠnden einen Schutz durch das Verschlie en des Serverraumes. Er darf daher nur in begrÿndeten AusnahmefŠllen vom Systemadministrator eingesetzt werden.