Datenschutz und informationstechnische Sicherheit bei PCs Verfasser: Hanns-Wilhelm Heibey Ursula Meyer zu Natrup Ralf Hauser Carsten Schmidt

Transkript

1 Datenschutz und informationstechnische Sicherheit bei PCs Verfasser: Hanns-Wilhelm Heibey Ursula Meyer zu Natrup Ralf Hauser Carsten Schmidt

2 2 Impressum Herausgeber: Redaktion, Layout: Satz und Druck: Berliner Datenschutzbeauftragter verantwortlich: Claudia Schmid Pallasstraße 25/26, Berlin Telefon: (030) Telefax: (030) Bildschirmtext: * # Internet: mailbox@datenschutz-berlin.de Volker Brozio Verwaltungsdruckerei Berlin 1. Auflage: Dezember 1997

3 3 Datenschutz und informationstechnische Sicherheit bei PCs Inhaltsverzeichnis 1. Was soll mit dieser Broschüre erreicht werden? 2. Was ist grundsätzlich zu wissen und zu beachten? 2.1 Worüber wird in dieser Broschüre gesprochen? Systeme Rechtmäßigkeit und Sicherheit der Datenverarbeitung Grundtechniken der IT-Sicherheit 2.2 Wann stehen Datenschutz- und IT-Sicherheitsfragen in einem PC-Projekt an? 2.3 Welche Besonderheiten beeinflussen beim PC die Sicherheit? 3. Wie wird informationstechnische Sicherheit beim PC-Einsatz sichergestellt? 3.1. Gegen welche Bedrohungen und Risiken müssen die PCs geschützt werden? Welche Grundbedrohungen sind beim PC-Einsatz zu berücksichtigen? Wie erfolgt eine Risikobetrachtung für die Erarbeitung eines Sicherheitskonzeptes? Was bedroht die Verfügbarkeit der Systeme, Programme und Daten? Was bedroht die Integrität von Systemen, Programmen und Daten? Was bedroht die Vertraulichkeit der Daten? 3.2 Wie wird der PC gegen die Bedrohungen geschützt? Wie werden die Risiken verringert? Welche personellen und organisatorischen Maßnahmen sind zu ergreifen? Wie kann der Schutz der Hardwarekomponenten gewährleistet werden? Wie sind Programme gegen unerwünschte Veränderungen zu schützen? Wie sind Programme gegen unberechtigte Nutzung zu schützen? Wie sind die Daten vor unbefugtem Zugriff zu schützen? Welche Schutzmaßnahmen sind insbesondere bei tragbaren Computern zu beachten? Welche Schutzmaßnahmen sind insbesondere bei Clients zu beachten?

4 Welche Schutzmaßnahmen sind insbesondere bei Servern zu beachten? 4. Wie ist der technische und organisatorische Datenschutz zu gewährleisten? 4.1 Wie werden die Kontrollanforderungen der Datenschutzgesetze umgesetzt? Welche Kriterien gelten für die Auswahl geeigneter technischorganisatorischer Maßnahmen? Welche Maßnahmen können für die Umsetzung der Zehn Gebote des technischen und organisatorischen Datenschutzes ergriffen werden? 4.2 Mit welchen Maßnahmen ist die Ordnungsmäßigkeit der Datenverarbeitung herzustellen? Literaturhinweise Anlagen: 1. Grundsätze für organisatorische und technische Maßnahmen zum Datenschutz beim Einsatz von unvernetzten oder vernetzten Personalcomputern 2. Empfehlungen für die Vergabe von Paßwörtern

5 1. Was soll mit dieser Broschüre erreicht werden? 5 Im Jahre 1986 veröffentlichte der Berliner Datenschutzbeauftragte erstmals seine Grundsätze für den Datenschutz für isolierte Rechner und Personalcomputer. Die Broschüre fand lebhaftes Interesse, nicht nur in der Berliner Verwaltung, die damals noch einziger direkter Adressat der Empfehlungen des Berliner Datenschutzbeauftragten sein konnte. Bis 1992 wurden vier Auflagen herausgebracht, meist inhaltlich an den technologischen Wandel angepaßt - auch unter Berücksichtigung der zunehmenden Vernetzung von PCs. Durch eine Änderung des 33 Berliner Datenschutzgesetz (BlnDSG) ist seit 1995 der Berliner Datenschutzbeauftragte in Berlin auch Aufsichtsbehörde für private Organisationen gem. 38 Bundesdatenschutzgesetz (BDSG). Somit richten sich unsere Empfehlungen nunmehr auch unmittelbar an private Institutionen, die personenbezogene Daten automatisiert verarbeiten. Die Grundsätze mit ihren Erläuterungen sollten erste Datenschutzmaßstäbe für den zunehmenden Einsatz von PCs vorstellen. Inzwischen sind PCs auf fast jedem Büroarbeitsplatz und in fast jeder Wohnstube für die häusliche IT-Nutzung und als Bestandteil der Unterhaltungselektronik zu finden. Die erreichten Leistungsdaten der PCs sind in atemberaubender Weise gestiegen und werden dies weiter tun. Der Datenschutz und die informationstechnische Sicherheit bei den PCs ist dagegen weiterhin Stiefkind dieser Entwicklung geblieben. Diese Broschüre beschränkt sich nicht auf Grundsätze, sondern beschäftigt sich ausführlich mit den Aspekten der IT-Sicherheit und des Datenschutzes beim Einsatz isolierter oder vernetzter PCs. Es werden Vorschläge zur Erfüllung von Sicherheitsanforderungen gemacht, und es werden methodische Anhaltspunkte gegeben, um zu einer sinnvollen Auswahl geeigneter Maßnahmen im Einzelfall zu gelangen. Es wird der Zusammenhang zwischen den Ansätzen der informations-technischen Sicherheit und des Datenschutzes hergestellt. Dadurch wird auch der erfreulichen Beobachtung Rechnung getragen, daß die Gestaltung betrieblicher und behördlicher PC-Einsätze wieder zunehmend in die Hände professioneller IT-Fachleute gegeben worden ist, die eine entsprechend fachkundige IT-Sicherheits- und Datenschutzberatung beanspruchen, und die Ad-hoc-Planung wohlmeinender Autodidakten im Bereich professioneller Anwendungen weitgehend der Vergangenheit angehört. Der Berliner Datenschutzbeauftragte hält sich seit jeher mit der Erarbeitung pauschaler Muster- Datenschutzkonzepte zurück. Jeder Einzelfall bedarf einer gesonderten Betrachtung, da die Risiken unterschiedlich verteilt sind. Aus diesem Grunde sind methodische Herangehensweisen vonnöten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat wesentliche Beiträge dazu geleistet, in dem es Erarbeitungsprozesse für IT-Sicherheitskonzepte beschrieben hat. Das 1992 erschienene IT-Sicherheitshandbuch mag für den einfachen PC-Einsatz zu aufwendig zu handhaben sein, das jährlich aktualisierte Grundschutzhandbuch (die letzte hier berücksichtigte Fassung ist die von 1997) ist jedoch ein geeigneter Ansatz für die rationelle Ausarbeitung von Sicherheitskonzepten. Die vorliegende Broschüre beruht wesentlich auf dem Grundschutzhandbuch. Die Broschüre soll bei der Erarbeitung konkreter IT-Sicherheits- und Datenschutzkonzepte helfen. Hintergrundinformationen, die dabei helfen sollen, werden zunächst in Abschnitt 2 gegeben. Einige Begriffe, die in dieser Broschüre und in der Diskussion um Datenschutz und IT- Sicherheit eine besondere Rolle spielen, werden in 2.1 dargestellt. Dabei ging es um das Verständnis für den Gesamtzusammenhang, nicht unbedingt um das wörtliche Zitieren genormter Definitionen. In 2.2 geht es um die Vorbereitungen eines datenschutzgerechten, ordnungsgemäßen und sicheren Einsatzes der Informationstechnik. Der Abschnitt 2.3 beschreibt die Besonderheiten, die dem PC und seinem Einsatz im Gegensatz zu anderen Systemen innewohnen, die die Sicherheitsrisiken seines Einsatzes begründen und für den sicheren Einsatz zu beachten sind. Wer ein IT-Sicherheitskonzept für geplante oder bestehende informationstechnische Systeme ausarbeiten will, muß dies auf der Grundlage einer realistischen Risikobetrachtung machen. Er muß wissen, gegen was er das IT-System und/oder die IT-Anwendung intensiv schützen muß

6 6 und welche Gefahren er eher als unwahrscheinlich betrachten darf. Das nötige Hintergrundwissen bieten die Abschnitte und 3.1.2, nämlich die Darstellung relevanter Grundbedrohungen und Hinweise zu präzisen Risikobetrachtungen. Die konkreten Bedrohungen bzw. Risiken für die IT-Sicherheit beim PC-Einsatz werden in den Abschnitten (Verfügbarkeit), (Integrität) und (Vertraulichkeit) dargestellt. Dort finden sich in jedem Einzelfall Verweise auf Maßnahmen, die gegen die Bedrohungen bzw. Risiken wirken und im Abschnitt 3.2 dargestellt werden, speziell organisatorische (3.2.1), hardwarebezogene (3.2.2) und softwarebezogene (3.2.3 und 3.2.4) Maßnahmen sowie Maßnahmen zum Schutz der Daten (3.2.5). Abgeschlossen wird der Abschnitt mit Ausführungen zu Maßnahmen bei speziellen Einsatzformen der PCs, nämlich als tragbare Systeme (3.2.6), als Clients (3.2.7) oder als Server (3.2.8) in Client-Server-Netzen. Ganz nebenbei erfährt man in 3.2 durch einen Verweis auf die zehn Kontrollanforderungen des Bundesdatenschutzgesetzes bzw. Berliner Datenschutzgesetzes, zu welcher Kontrollanforderung eine Maßnahme einen Beitrag liefert. Wer ein Datenschutzkonzept auf der Grundlage der technisch-organisatorischen Anforderungen der Datenschutzgesetze zu erarbeiten hat, findet das nötige Grundlagenwissen im Abschnitt 4. In 4.1 geht es um die Umsetzung der Kontrollanforderungen zu technisch-organisatorischen Maßnahmen des Datenschutzes. Dabei werden auch Kriterien für die geeignete Auswahl von Maßnahmen (4.1.1) beschrieben, bevor es in um die Behandlung der sog. Zehn Gebote und ihren Stellenwert speziell beim PC-Einsatz geht. 4.2 befaßt sich mit den Anforderungen an eine ordnungsgemäße Datenverarbeitung. Neben dem Literaturverzeichnis finden sich in der Anlage zwei inhaltliche Ergänzungen der Ausführungen dieser Broschüre: Eine gestraffte und am aktuellen technischen Stand orientierte Überarbeitung der PC-Grundsätze und die bereits im Jahresbericht 1996 veröffentlichten Empfehlungen für die Vergabe von Paßwörtern. Die Broschüre kann die Entscheidung über die geeignete Maßnahme im Einzelfall nicht abnehmen. Allerdings erfährt man durch den Rückverweis von den Maßnahmen zu den Bedrohungen und Risiken, welchen Beitrag die Maßnahmen für die informationstechnische Sicherheit leisten. Insbesondere, weil Maßnahmen für die informationstechnische Sicherheit auch bauliche Maßnahmen und Maßnahmen der allgemeinen Sicherheitsinfrastruktur (z. B. Fluchtwege, Tür- und Fenstersicherungen, Alarmanlagen, Meldeanlagen) einbeziehen können, sei ausdrücklich darauf hingewiesen, daß Polizei und Feuerwehr Beratung in solchen Fragen anbieten, die ein Datenschutzbeauftragter in der Regel nicht mit gleicher Kompetenz leisten kann.

7 7 Schema zur Erstellung eines IT-Sicherheitskonzeptes: Datenschutzkonzeptes: Risikobetrachtung/ Risikoanalyse Maßnahmen Auswahlkriterien Risiko/Bedrohung Maßnahmen Auswahl der Maßnahmen Auswahl der Maßnahmen Datenschutzkonzept IT-Sicherheitskonzept Im Idealfall kommt man im Zusammenhang mit der Verarbeitung personenbezogener Daten auf beiden Wegen zu gleichen, zumindest vergleichbaren Ergebnissen, denn die technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes und der Ordnungsmäßigkeit der Datenverarbeitung decken sich bei der Verarbeitung personenbezogener Daten mit den Maßnahmen zur Sicherstellung informationstechnischer Sicherheit.

8 2. Was ist grundsätzlich zu wissen und zu beachten? Worüber wird in dieser Broschüre gesprochen? Vorangestellt werden hier eine Reihe von Begriffen, die mehr oder weniger intuitiv in den allgemeinen Sprachgebrauch eingeflossen sind, dabei aber an der notwendigen Schärfe verloren haben. Zu den Begriffen, die in den Datenschutzgesetzen definiert werden, wird auf die jeweiligen datenschutzrechtlichen Bestimmungen verwiesen Systeme informationstechnisches System PC Ein ist eine Gesamtheit zusammenwirkender Geräte, mit dem Daten verarbeitet, d.h. empfangen, erfaßt, gespeichert, verändert, gelöscht und übertragen werden können. Die Abkürzung steht für Personal Computer, übersetzt: persönlicher Computer. Sie steht damit für eine Klasse von informationstechnischen Systemen, die sich auszeichnen durch ihre vergleichsweise geringen Abmessungen, so daß sie als Bürogerät auf jeden Schreibtisch passen, Preisgünstigkeit, so daß sie für jeden durchschnittlichen Verdiener erschwinglich sind, die große Verbreitung und Kompatibilität der verwendeten Hardwarekomponenten einschließlich der Prozessoren, internen und externen Speichermedien, die große Verbreitung und Kompatibilität der verwendeten (Industrie-)Standard-Betriebssysteme und der leistungsstarken (Industrie-)Standard-Anwendungssoftware, die überdies so variabel ist, daß sie in gewissen Grenzen an vorgegebene organisatorische Strukturen angepaßt werden kann. Es haben sich bis heute nur wenige (Industrie-)Standards bei den PC-Betriebssystemen durchgesetzt. Vorrangig haben sich Betriebssysteme der Firma Microsoft 2 durchgesetzt. Daneben existieren u.a. die Betriebssysteme OS/2 von IBM und Macintosh-OS von Apple sowie spezielle UNIX-Derivate wie z.b. LINUX, die allerdings einen vergleichsweise geringen Marktanteil erreicht haben. Die Aussagen dieser Broschüre sind im Normalfall unabhängig vom Betriebssystem zu sehen. Soweit doch Bezüge zu einem Betriebssystem unvermeidlich sind, beziehen sich die Aussagen auf 1 Es handelt sich dabei um folgende Begriffe: personenbezogene Daten; Datei; Akte; Datenverarbeitung; Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen, Nutzen, Anonymisieren von Daten; speichernde bzw. datenverarbeitende Stelle. Die Begriffe sind in 3 BDSG und/oder 4 BlnDSG beschrieben. 2 MS-DOS mit WINDOWS 3.x, WINDOWS 95, WINDOWS NT CLIENT

9 9 die Produkte von Microsoft. Zur normalen Ausstattung eines modernen unvernetzten PCs gehören Eingabegeräte wie Tastatur und Maus, ein graphischer Bildschirm, ein Tintenstrahl- oder Laserdrucker, je ein Laufwerk für 3,5-Zoll-Disketten und CDs. Hinzu kommen können je nach Anwendungsbereich Ausstattungskomponenten für multimediale Anwendungen. Laptop, Notebook, Palmtop, tragbarer Computer Client-Server-System Client Server sind Begriffe für PCs, die für den mobilen Einsatz geeignet sind. Die verschiedenen Begriffe stehen für unterschiedliche Größen hinsichtlich ihrer Abmessung und Funktionalität. In dieser Broschüre soll daher der Begriff für diesen PC-Typ verwendet werden. Ein ist ein System vernetzter Computer, die hinsichtlich ihrer Rolle im Netz als Clients oder Server bezeichnet werden. Dabei ist ein ein PC, an dem der Benutzer mit dem Client-Server-System arbeitet. Die zwischen dem Benutzer und dem System stattfindende Interaktion wird über die vom Client angebotene Benutzeroberfläche realisiert. Für ihn und seine Komponenten (z.b. Bildschirm, Software-Oberfläche) gelten daher strenge ergonomische Anforderungen. Dagegen ist ein ein Computer, der im Client-Server-Netz die Clients mit bestimmten zentralen Leistungen bedient, die von den Clients abgerufen werden können. Dabei kann es mehrere Server für unterschiedliche Dienstleistungen geben. Ausgeschlossen ist auch nicht, daß ein Computer gleichzeitig als Client und als Server eingesetzt werden kann. Meist stellt man sich unter einem Client-Server-System allerdings ein Netz mit einem Server vor, der alle zentralen Funktionen (z.b. Datenhaltung, Benutzerverwaltung, Druckersteuerung usw.) ausführt. Viele Server sind (meist besonders ausgestattete) PCs. Verbreitete Netzbetriebssysteme mit PC-Servern sind WINDOWS NT SERVER und Novell Netware. Andere Client-Server-Systeme werden jedoch mit Servern betrieben, die unter einem UNIX- Derivat arbeiten. Solche Server werden hier jedoch nicht mehr unter dem Begriff PC erfaßt. APC Die Abkürzung steht für den Begriff Arbeitsplatz-Computer und bezeichnet alle Computer, die am Arbeitsplatz eines anwendenden (in einem Netz nicht systemverwaltenden!) Benutzers eingesetzt werden. Dazu gehören also die unvernetzten PCs und die Clients in Client- Server-Systemen. Genau diesen Computern soll sich diese Broschüre widmen.

10 Rechtmäßigkeit und Sicherheit der Datenverarbeitung IT-Sicherheit Datenschutz Technischer und organisatorischer Datenschutz Ordnungsmäßigkeit der Datenverarbeitung steht für Sicherheit der Informationstechnik und meint den Schutz der Anwendungen der Informationstechnik vor möglichen Bedrohungen 3. Zu diesen Bedrohungen wird mehr in Abschnitt 3 ausgesagt. ist der zusammenfassende Begriff aller rechtlichen, organisatorischen und technischen Maßnahmen zur Gewährleistung des unmittelbar aus den allgemeinen Persönlichkeitsrechten abzuleitenden Rechts auf informationelle Selbstbestimmung. Er umfaßt die Verarbeitung personenbezogener Daten 4 - gleichgültig, ob diese automatisiert oder nicht automatisiert erfolgt. umfaßt daher die technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes. Alle Maßnahmen zur Herstellung von IT-Sicherheit im Zusammenhang mit personenbezogenen Anwendungen sind somit gleichzeitig technischorganisatorische Maßnahmen des Datenschutzes, speziell jene, die in den zehn Kontrollanforderungen der Datenschutzgesetze des Bundes und der Länder verlangt werden. 5 Die ist ein Qualitätsmerkmal der Datenverarbeitung, die im Zusammenhang mit der Anwendung von Datenverarbeitungsprogrammen zur Verarbeitung personenbezogener Daten überwacht 6 bzw. gewährleistet 7 werden muß. Die Datenverarbeitung ist ordnungsgemäß, wenn sie das leistet, was sie leisten soll, nicht leistet, was sie nicht leisten soll, und beides kontrolliert werden kann. Erreicht wird dies mit einer revisionssicheren Aufbau- und Ablauforganisation der Datenverarbeitung (Dokumentation und Protokollierung!) sowie einer ebenso revisionssicheren Verantwortungsverteilung bei der Datenverarbeitung (Funktionentrennung und Freigabeverfahren) Grundtechniken der IT-Sicherheit Identifizierung Bei der des Benutzers eines informationstechnischen Systems gibt der Benutzer dem System seinen Namen oder eine eindeutig auf ihn 3 Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Sicherheitshandbuch, Bonn 1992, S. 2 4 Definitionen zu den Begriffen Datenverarbeitung und personenbezogene Daten finden sich in den Datenschutzgesetzen des Bundes und der Länder, z.b. 3 Abs. 1 und 5 Bundesdatenschutzgesetz (BDSG) und 4 Abs. 1 und 2 Berliner Datenschutzgesetz (BlnDSG) 5 Siehe z.b. Anlage zu 9 Satz 1 BDSG oder 5 Abs. 3 BlnDSG sowie Abschnitt 4 dieser Broschüre. 6 Siehe z.b. 18 Abs. 2 Satz 3, 37 Abs. 1 Satz 3, Nr. 1 BDSG 7 Siehe z.b. 19 Abs. 1 Satz 2 BlnDSG

11 11 bezogene Ersatzidentifikation (Benutzerkennung, User-ID, Identifier) bekannt. Meist handelt es sich dabei um Namenskürzel. Authentifizierung Protokollierung Verschlüsselung kryptographische Verschlüsselung Die Identifizierung muß durch die ergänzt werden. Dabei weist der Benutzer dem System die Richtigkeit seiner Identifizierung nach. Allgemein üblich ist die Authentifizierung mit Paßwörtern und/oder maschinenlesbaren Ausweisen, in Zukunft insbesondere Chipkarten. Auch biometrische Verfahren (Fingerabdruck-, Handflächen-, Augenhintergrund-, Sprach-, Handschrifterkennung) werden in Zukunft eine Rolle spielen. ist in diesem Zusammenhang die Aufzeichnung von Vorgängen bei der Benutzung informationstechnischer Systeme. Sie kann nicht-automatisiert, etwa durch schriftliche Aufzeichnungen, oder automatisiert auf Papier oder maschinenlesbaren Datenträgern erfolgen. ist das Ersetzen von Klartextbegriffen oder Zeichen durch andere, häufig zur Verbesserung der Effizienz der Datenverarbeitung und Programmierung, nicht immer also zum Verbergen des korrekten Inhalts. Dagegen dient die dazu, daß Daten so durch andere Zeichenfolgen ersetzt werden, daß eine sinnvolle Interpretation der Daten Unbefugten unmöglich gemacht wird. Die kryptographische Verschlüsselung gilt als um so stärker, je größer der (theoretische bzw. mathematische) Aufwand für Unbefugte ist, den Klartext zu rekonstruieren. 2.2 Wann stehen Datenschutz- und IT-Sicherheitsfragen in einem PC-Projekt an? Wenn Verfahren der Datenverarbeitung eingerichtet oder wesentlich verändert werden, die für die Aufgabenerfüllung von Organisationen wichtig sind, von denen gar das Leben oder die Gesundheit von Menschen bzw. die wirtschaftliche Existenz oder der gesellschaftliche Status von Personen oder Organisationen abhängt, sind mehr oder weniger starke und wirksame Maßnahmen für die informationstechnische Sicherheit der eingesetzten Systeme erforderlich. Wenn es um die Verarbeitung personenbezogener Daten geht, sind die Datenschutzgesetze zu beachten, die für die jeweilige Organisation gelten. Auch sie enthalten Regelungen, die die Sicherheit der Datenverarbeitung tangieren, die also nicht nur den Inhalt der Datenverarbeitung betreffen, sondern auch den technischen Zustand der Systeme und deren organisatorisches Umfeld. Maßnahmen zur Herstellung informationstechnischer Sicherheit und des technischen und organisatorischen Datenschutzes überschneiden sich, der Unterschied liegt in der Zielsetzung. Datenschutz und IT-Sicherheit sind in die Planungsphase eines IT-Projektes einzubeziehen, je früher, desto besser. Datenschutzfreundliche Technologien zeichnen sich dadurch aus, daß sie auf personenbezogene Daten ganz oder teilweise verzichten bzw. daß weite Bereiche (Sphären) der informationstechnischen Systeme mit pseudonymisierten Daten arbeiten, deren unvorhergesehene Kenntnisnahme durch Dritte die informationelle Selbstbestimmung nicht tangiert. Solche Überlegungen gehören an den Anfang eines Projektes und können hohen Kosten für Sicherheitsmaßnahmen vorbeugen. Will man solchen Ideen folgen oder will man der Sicherheit

12 12 der Datenverarbeitung einen hohen Stellenwert einräumen, dann gehört in jedes Pflichtenheft die Forderung nach einem umfassenden IT-Sicherheitskonzept und nach Vorschlägen zu seiner Umsetzung. Je später im Projekt IT-Sicherheit und Datenschutz eine Rolle spielen, desto teurer, aber wirkungsärmer werden die Nachbesserungen. Aus diesem Gedanken heraus enthalten die Datenschutzgesetze z.t. Regelungen, die die frühzeitige Unterrichtung der internen und/oder externen Datenschutzkontrollinstanzen fordern: Der betriebliche Datenschutzbeauftragte privater Organisationen ist gem. 37 Abs. 1 Satz 3 Nr. 1, 2. Halbsatz BDSG über Vorhaben der automatisierten Datenverarbeitung rechtzeitig zu unterrichten. Da die zitierte Vorschrift durch die Verweisung in 19 Abs. 5 BlnDSG auch für behördliche Datenschutzbeauftragte der Berliner öffentlichen Stellen gilt, sind auch diese rechtzeitig über Vorhaben der automatisierten Datenverarbeitung in ihrem Hause zu unterrichten. Gem. 24 Abs. 3 Satz 3 BlnDSG ist auch der Berliner Datenschutzbeauftragte von allen öffentlichen Stellen des Landes über die Einführung neuer Automationsvorhaben zu informieren. Diese Vorschrift soll sicherstellen, daß der Berliner Datenschutzbeauftragte so rechtzeitig Gelegenheit erhält, Hinweise und Empfehlungen zu geben, daß sie noch im Projekt berücksichtigt werden können. Die Rechnungshöfe des Bundes und der Länder verlangen ebenfalls eine frühzeitige Unterrichtung zu informationstechnischen Vorhaben. Für die öffentlichen Stellen des Landes Berlin gilt Nummer 8 der Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zum Einsatz der Informationstechnik - IT- Mindestanforderungen Fassung: Berlin - vom 16.Juli Dort werden umfassende Unterrichtungspflichten definiert. Insbesondere ist der Rechnungshof unverzüglich über den Beginn und über den Abschluß oder Abbruch jedes IT-Verfahrens schriftlich zu unterrichten, und es sind bestimmte Dokumentationsunterlagen bereitzuhalten. Bei IT-Verfahren im Bereich des Haushaltswesens sind die meisten dieser Unterlagen sogar mit der schriftlichen Unterrichtung mitzusenden. Die Terminplanung solcher Projekte hat für den Rechnungshof und die Senatsverwaltung für Finanzen einen angemessenen Zeitraum zur Auswertung und Beurteilung zu berücksichtigen. Ebenfalls für die Berliner öffentlichen Stellen gilt für Verfahren im Rahmen der allgemeinen Verwaltungstätigkeit, für die also das Berliner Informationsverarbeitunggesetz (IVG) 8 anzuwenden ist, gemäß 4 IVG, daß vor der Entscheidung über den Einsatz oder die wesentliche Änderung eines automatisierten Verfahrens der allgemeinen Verwaltungstätigkeit zu prüfen ist, ob und in welchem Umfang mit der Nutzung der Informationstechnik Gefahren für die Rechte der Betroffenen oder für die Funktionsfähigkeit der Verwaltung verbunden sind. Automatisierte Verfahren dürfen nur eingesetzt oder wesentlich geändert werden, soweit derartige Risiken durch technische oder organisatorische Maßnahmen wirksam beherrscht werden können. Die Entscheidung trifft der Leiter der die Informationstechnik einsetzenden Stelle. Er unterrichtet den Berliner Datenschutzbeauftragten über die Entscheidung. 2.3 Welche Besonderheiten beeinflussen beim PC die Sicherheit? PC heißt personal computer, also persönlicher Computer. 8 Gesetz über die Informationsverarbeitung bei der allgemeinen Verwaltungstätigkeit (Informationsverarbeitungsgesetz - IVG) vom 9. Oktober 1992 (GVBl. S. 305), zuletzt geändert durch Haushaltsstrukturgesetz 1997 vom 12. März 1997 (GVBl. S. 69,81)

13 13 Er ist daher ursprünglich so konzipiert worden, daß er den Bedürfnissen jener einzelnen Person genügt, welche ihn benutzen soll oder will. Er ist somit auch mit allem ausgestattet, was ein vollständiger Computer benötigt, der jedoch nur einen bestimmten Benutzer hat. Seine Sicherheit wird dadurch bestimmt, wie dieser Benutzer ihn schützt, ob er ihn im verschlossenen Raum betreibt, ob er die Benutzung durch andere verhindert, wie er mit den Datenträgern umgeht - alles bleibt der Verantwortung des einzigen Benutzers überlassen. Wenn ein persönlicher Computer jedoch als unpersönlicher Computer eingesetzt wird, er also mehrere Benutzer haben soll oder kann, dann funktioniert die ursprüngliche einfache Sicherheitsphilosophie nicht mehr: Es müssen zusätzliche Maßnahmen getroffen werden, meist solche, die im Verhältnis zum billigen Computer teuer sind und/oder die ursprünglich so bequeme Benutzung verkomplizieren.

14 14 Die Besonderheiten: Beschreibung Begründung Besonderheit: Das Betriebssystem eines PC enthält standardmäßig keine Benutzerverwaltung und demzufolge auch keine Benutzerauthentifizierung. Wozu auch? Standardmäßig gibt es ja nur einen Benutzer. Warum sollte man dann Benutzer verwalten und authentifizieren können? Daher die Forderung für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen: Besonderheit: Besonderheit: Besonderheit Wird ein PC nicht als persönlicher Computer eingesetzt, weil z.b. mehrere Benutzer mit ihm arbeiten sollen oder weil er als Client in ein Client-Server-System eingebunden ist, so muß im Gesamtsystem eine Benutzerverwaltung erfolgen, die eine Benutzerauthentifizierung voraussetzt. Ein solcher PC ist demzufolge mit entsprechenden Zusatzwerkzeugen auszustatten. Das Betriebssystem eines PC führt standardmäßig keine Protokolle, die das Benutzerverhalten kontrollierbar machen. Daher die Forderung für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen: Wozu auch? Es gibt standardmäßig nur einen Benutzer. Warum sollte er sein eigenes Verhalten protokollieren wollen? Wird ein PC nicht als persönlicher Computer eingesetzt, so ist er mit zusätzlichen Werkzeugen auszustatten, die die gesetzlich vorgeschriebenen oder aus anderen Gründen erforderlichen Protokolle erstellen. Die Fähigkeit, mit einem PC umgehen zu können, ist weit Wegen der weltweiten Verbreitung der PCs sind auch die Betriebssysteme, Standardanwendungsprogramme und gebräuchli- verbreitet. Die mögliche Unwissenheit Dritter kann also nicht als Argument der Sicherheit gegenüber Dritten dienenchen Tools weltweit bekannt und überall leicht erhältlich. Daher die Forderung für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen: Wenn nicht ausgeschlossen werden kann, daß unbefugte Dritte (z.b. Reinigungskräfte, Hausmeister etc.) unbeobachtet Zugang zum PC erhalten, so sind Maßnahmen zu treffen, die verhindern, daß der PC in Betrieb genommen werden kann. Das für die Bedienung eines PCs nötige Wissen ist im Zweifel als gegeben vorauszusetzen. Ein PC enthält standardmäßig Laufwerke für bewegliche Datenträger (Disketten, CDs), von denen gelesen oder auf die Daten geschrieben werden können. Solche Datenträger sind überall leicht erhältlich. Der persönliche Computer ist ein vollständiger Computer, und daher benötigt er solche Laufwerke, damit Programme und Daten eingespielt werden können bzw. eine Datensicherung betrieben werden kann. Daher die Forderungen für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen zu diesem besonders gravierenden Sicherheitsproblem: Bei Einzelplatz-PCs kann zwar auf solche Laufwerke nicht verzichtet werden, sie müssen jedoch gegen die unbefugte

15 15 Nutzung verschlossen oder gesperrt werden. Die befugte Benutzung ist durch technische und organisatorische Maßnahmen auf ein unbedingt erforderliches Minimum zu beschränken. Die organisatorischen Abläufe sind so zu gestalten, daß das Minimum klein gehalten werden kann. Die befugte Nutzung sollte nach dem Vier-Augen-Prinzip abgesichert und protokolliert werden. In Client-Server-Systemen benötigen Clients solche Laufwerke grundsätzlich nicht, weil das Einspielen von Daten und Programmen bzw. die Datensicherung zentral vom Server oder Administrations-PC aus erfolgen kann. Sofern Clients solche Laufwerke in begründeten Einzelfällen enthalten, gelten hier die für Einzelplatz-PCs aufgestellten Forderungen Besonderheit: Besonderheit: Besonderheit: Für bewegliche Datenträger ist sicherzustellen, daß sie Unbefugten nicht zugänglich sind und daß die Vollständigkeit und Authentizität der Datenträger gewährleistet ist und regelmäßig kontrolliert wird. Ein PC enthält standardmäßig Schnittstellen zum Anschluß Der persönliche Computer ist ein vollständiger Computer, und peripherer Geräte wie Drucker, zusätzliche Datenträgerlaufwerke, Scanner etc. Diese Schnittstellen sind frei zu- Computer ohne Drucker? daher braucht er solche Schnittstellen, denn was ist z.b. ein gänglich. Daher die Forderung für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen: Es ist zu verhindern, daß solche Schnittstellen mißbräuchlich verwendet werden, z.b. um periphere Geräte anzuschließen und in Betrieb zu nehmen, deren Gebrauch nicht gestattet werden soll (etwa externe Laufwerke an Clients, die Datenträgerlaufwerke nicht enthalten sollen). Im Arbeitsleben werden PCs in normalen Büroräumen benutzt, in denen auch Publikumsverkehr herrschen kann. Daher die Forderung für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen: Besonders geschützte Rechnerräume geben für Arbeitsplatzcomputer keinen Sinn. Sie gehören ja zur Schreibtisch- und damit zur Arbeitsplatzausstattung. Wird der Arbeitsplatz verlassen, ist zu verhindern, daß sich Unbefugte am PC zu schaffen machen. Der Standort der Bildschirme, der Drucker und anderer Geräte ist so zu wählen, daß unbefugte Mitarbeiter und Außenstehende keine Daten unbefugt lesen oder unbefugte Eingriffe in das System tätigen können. Ein PC ist klein und leicht genug, um von einer Person davongetragen zu werden. Insbesondere gilt dies natürlich für tragbare Computer. Daher die Forderung für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen: Diebstahls- und Einbruchsschutz sind selbstverständlich, aber gerade beim PC, der ja in normalen Büroräumen steht, nur mit gewissen Einschränkungen möglich. Zur Gewährleistung der Vertraulichkeit der Daten, also des Daten-

16 16 schutzes ist daher die kryptographische Verschlüsselung der auf der Festplatte gespeicherten schutzbedürftigen Daten angeraten. Bei tragbaren Computern, die auch mobil eingesetzt werden, ist die kryptographische Verschlüsselung der auf der Festplatte gespeicherten schutzbedürftigen Daten obligatorisch.

17 3. Wie wird die informationstechnische Sicherheit beim PC-Einsatz sichergestellt? Gegen welche Bedrohungen und Risiken müssen die PCs geschützt werden? Welche Grundbedrohungen sind beim PC-Einsatz zu berücksichtigen? Nach der Definition des IT-Sicherheitshandbuchs des BSI ist informationstechnische Sicherheit gegeben, wenn die Anwendungen der Informationstechnik vor möglichen Bedrohungen geschützt sind. Zur Klassifizierung der Bedrohungen werden zunächst die sog. Grundbedrohungen herangezogen. Es handelt sich bei der klassischen Datenverarbeitung um die Bedrohung der Verfügbarkeit der Systeme, Programme und Daten, der Integrität der Systeme, Programme und Daten sowie der Vertraulichkeit der Daten. Nimmt man die Datenkommunikation in (großen)+ Netzen hinzu, so ist auch die Bedrohung der Authentizität (Verläßlichkeit) der übertragenen Daten bzw. Dokumente zu den Grundbedrohungen hinzuzurechnen. Im Zusammenhang mit dieser Broschüre soll die Bedrohung der Authentizität keine Rolle spielen. Bedrohung der Verfügbarkeit Es ist zu verhindern, daß informationstechnische Systeme oder Einzelkomponenten solcher Systeme durch Verlust oder Funktionsuntüchtigkeit für die vorgesehenen Anwendungen nicht zur Verfügung stehen; Programme durch Löschung oder Veränderungen, die sie funktionsuntüchtig machen, nicht genutzt werden können; Daten dadurch, daß sie gelöscht wurden oder der Zugriff auf sie nicht mehr möglich ist, nicht verwendet werden können. Die Beeinträchtigung der Verfügbarkeit verhindert die vorgesehenen Datenverarbeitungsprozesse. Bedrohung der Integrität Es ist zu verhindern, daß informationstechnische Systeme oder Einzelkomponenten solcher Systeme so verändert (verfälscht) werden, daß vorgesehene Funktionen entfallen, sich in unerwünschter Form verändern oder unerwünschte Funktionen hinzugefügt werden; Programme so verändert (verfälscht) werden, daß vorgesehene Funktionen entfallen, sich in unerwünschter Form verändern oder unerwünschte Funktionen hinzugefügt werden; Daten in unerwünschter Weise verändert oder verfälscht werden. Die Beeinträchtigung der Integrität verfälscht die Ergebnisse der Datenverarbeitungsprozesse. Bedrohung der Vertraulichkeit Es ist zu verhindern, daß Unbefugte Daten zur Kenntnis erhalten oder gar nutzen können.

18 18 Die Beeinträchtigung der Vertraulichkeit gefährdet je nach Art der Daten Persönlichkeitsrechte oder wichtige, manchmal existentielle Interessen von Staaten, Behörden oder privaten Organisationen Wie erfolgt eine Risikobetrachtung für die Erarbeitung eines Sicherheitskonzeptes? Die Maßnahmen zur Sicherheit der Datenverarbeitung und zur Sicherstellung des technischen und organisatorischen Datenschutzes sollten auf einem Sicherheitskonzept beruhen, welches sich gegen realistische Bedrohungen in angemessener Weise und nach dem Stand der Technik richtet. Es wird kein Sicherheitskonzept auf Akzeptanz stoßen, also vernünftig umgesetzt und in der täglichen Routine beachtet werden, das nicht dadurch gerechtfertigt werden kann, daß es gegen nachvollziehbare Gefahren schützt. Das IT-Sicherheitshandbuch des BSI 9 beschreibt ein differenziertes Verfahren zur Bedrohungsund Risikoanalyse, dessen Anwendung empfehlenswert ist, jedoch für den einzelnen PC- Einsatz unangemessen aufwendig sein dürfte. Demgegenüber wird im IT-Grundschutzhandbuch des BSI 10 die Risikoanalyse zu einer Schutzbedarfsfeststellung pauschalisiert. Danach werden Gefährdungen durch höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Handlungen beschrieben und Maßnahmen an der Infrastruktur, der organisatorischen Gestaltung, personeller Art, an Hard- und Software, an der Kommunikationstechnik und für die Notfallvorsorge dargestellt, die sich gegen die Gefährdungen richten. Es ist jetzt Sache der Anwender bzw. der anwendenden Organisation, in internen Diskursen die im Einzelfall zu betrachtenden Gefährdungen herauszufinden, zu gewichten und die entsprechenden Maßnahmen in das Sicherheitskonzept zu übernehmen. Aus diesen Überlegungen wird deutlich, daß es kaum möglich ist, Standard- Sicherheitskonzepte unkritisch zu übernehmen. In jedem Einzelfall finden sich andere Rahmenbedingungen, die zu anderen Gefährdungslagen führen und somit andere Maßnahmen erfordern. So sind zu beachten: die personellen Gegebenheiten (Ausstattung, Qualifikation, Motivation...) 9 Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheitshandbuch - Handbuch für die sichere Anwendung der Informationstechnik, Version März Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch - Maßnahmenempfehlungen für den mittleren Schutzbedarf, letzte Version von 1997, Bundesanzeiger Verlagsges. GmbH, Köln

19 19 die baulichen und räumlichen Verhältnisse (Kellergeschoß, Dachgeschoß, irgendwo dazwischen, Einzelbüro, Großraumbüro, Publikumsverkehr...) die Art der eingesetzten Informationstechnik (PCs, PC-Netze, UNIX-Systeme, proprietäre Großrechner, Telekommunikationssysteme...) Anreize Unbefugter, sich die Daten zu beschaffen, Daten, Hard- und Software zu zerstören oder zu manipulieren. Diese Anreize können finanzieller Art, politisch begründet sein oder auf individuellen Rachegelüsten oder Frustrationen beruhen. Anreize Befugter, die Daten zu mißbrauchen, Daten, Hard- und Software zu zerstören oder zu manipulieren. Auch diese Anreize können finanzieller Art, politisch begründet sein oder auf individuellen Rachegelüsten oder Frustrationen beruhen. usw. Eine Risikobetrachtung beruht auf Annahmen über die Schadenshöhe, die das Eintreten eines Ereignisses auslöst und über die Häufigkeit, mit der man mit dem Eintreten eines solchen Ereignisses rechnen muß. Maßnahmen, die sich gegen die Risiken richten, verringern den Schaden und/oder die Häufigkeit des Eintretens. Ausreichend sind die Maßnahmen dann, wenn sie das Risiko eines Schadensereignisses auf ein akzeptabel geringes Restrisiko reduzieren. Der wirtschaftlichen Angemessenheit wird Rechnung getragen, indem man aus der möglichen Vielfalt von ausreichenden Maßnahmen jene ergreift, die in ökonomischer Hinsicht günstig sind. Bei der Risikobetrachtung selbst dürfen ökonomische Aspekte keine Rolle spielen: Ein Risiko wird nicht dadurch geringer, daß Ausgaben für seine Eingrenzung zu befürchten sind! Grundsätzlich gilt das Verhältnismäßigkeitsprinzip auch für Maßnahmen zur Verbesserung der informationstechnischen Sicherheit oder zur Sicherstellung des Datenschutzes. Der Schutzzweck, an dem sich die Verhältnismäßigkeit mißt, orientiert sich allerdings am Schaden, der für den Betroffenen entsteht, wenn seine Daten unbefugt offenbart, verändert oder genutzt werden (Sichtweise des Datenschutzes), am Risiko, das eine Organisation trägt, daß Daten unbefugt offenbart, verändert oder genutzt werden (Sichtweise der IT-Sicherheit), auf keinen Fall jedoch am Investitionsvolumen für die informationstechnischen Systeme und/oder an den Kosten für die notwendigen technisch-organisatorischen Maßnahmen. Nach wie vor gilt der Grundsatz, daß Daten deshalb nicht weniger zu schützen sind, weil sie nur mit PCs verarbeitet werden!

20 3.1.3 Was bedroht die Verfügbarkeit der Systeme, Programme und Daten? Es kann vielfältige Ursachen haben, daß Systeme, Programme oder Daten gerade dann nicht verfügbar sind, wenn man sie braucht. Die Folgen fehlender Verfügbarkeit sind ebenfalls unterschiedlicher Art. Je nach Bedeutung einer IT-Anwendung für die Aufgabenerfüllung einer Organisation kann es zum einen nur lästig sein, aber eine willkommene Gelegenheit bieten, endlich einmal aufgeschobene Dinge zu erledigen, für die man das System nicht braucht, zum anderen kann es aber zur existenziellen Gefährdung von Organisationen führen, wenn die IT-Anwendungen allzulange ausfallen. Solche Konsequenzen wird der Ausfall von PCs normalerweise nicht haben. Dennoch werden Arbeitsabläufe gestört, Aufgabenerledigungen erschwert und verzögert. Man muß also die konkreten Risiken erkennen und etwas dagegen tun. Höhere Gewalt, versehentliches, fahrlässiges oder absichtliches Fehlverhalten von Mitarbeitern und Außenstehenden, organisatorische Schwachstellen und Mängel sowie technisches Versagen können Ursachen dafür sein, daß ein System nicht zur Verfügung steht, Programme nicht ausgeführt werden können, Daten verschwunden sind. Die Zuordnung der Maßnahmen zu den einzelnen Risiken und Bedrohungen erfolgt nach folgenden Kriterien: Spielt eine Maßnahme eine ausschlaggebende Rolle bei der Einschränkung eines Risikos, so erfolgt der Verweis in Fettdruck. In der Regel werden Risiken durch eine sinnvolle Kombination diverser Maßnahmen reduziert. Der Verweis auf solche Maßnahmen wird nicht besonders hervorgehoben. Es gibt viele weitere Maßnahmen, die zumindest mittelbar dämmenden Einfluß auf ein Risiko haben können. Soweit sie naheliegend sind, erscheint ein Verweis in (Klammern). Manche der in 3.2 erwähnten Maßnahmen können in speziellen Einzelfällen und unter bestimmten Voraussetzungen bei der Eindämmung eines Risikos helfen. Es ist daher nicht ausgeschlossen, daß es auch Maßnahmen gibt, an die man denken könnte, die aber keinen Verweis erhalten haben. Nr. Risiko/Bedrohung Erläuterung Maßnahmen (3.2) Höhere Gewalt, die die Verfügbarkeit der Systeme bedroht, liegt vor bei R01 Feuer M12, M21, M22, M44, M49, und M51, M73, M90, M96 R02 Wassereinbruch durch Überschwemmungen, Rohrbrüche, eindringendes Regenwasser. Auch M12, M21, M22, M44, M49, M51, M73, M90, M96 R03 Überspannungen, hervorgerufen durch Blitzschlag oder Störungen in der Stromversorgung müssen beachtet werden. M12, M20, M21, M22, M35, M44, M49, M51, M73, M94, M95, M96