IT die funktioniert SOA und Datenschutzmanagement Martin Rost Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein CeBIT 007.0.8 v.0.-007.0.0 Übersicht. Kurzvorstellung des ULD und ULDi. Datenschutz heute. Was finden Datenschützer an SOA gut? Service-Orientierung Datenkapselung 4. SOA, Service-Beispiel Protokollierung Praxisproblem: Wie Protokollierung in SOA einpassen?
Eine moderne Datenschutzinstitution: ULD / ULDi Die 7 Säulen des ULD Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modellprojekte Gütesiegel Audit Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung 4
Machen Sie den Datenschutz zu Ihrem Wettbewerbsvorteil Datenschutz-Gütesiegel für Produkte, Datenschutz- Audit für Verwaltungsverfahren Innovationszentrum Datenschutz & Datensicherheit CeBIT007 H/D06 5 Projekte (DFG, EU, BMBF) im ULD Ubiquitäres Computing - TAUCIS Identitätsmanagement - Prime und FIDIS Nutzerorientiertes Digital Rights Management - Privacy4DRM Datenschutzanforderungen für die Forschung PRISE Europäische Melderegisterauskunft RISER Verbraucherdatenschutz und Datenschutzrecht im Scoring Anonymität im Internet - AN.ON Biodatenbanken SOAinVO Verkettung. 6
Datenschutz heute 7 Kurze Geschichte der Datenschutzparadigmen 890 (Brandeis, USA): Spontanes Thematisieren, etwa ein Recht am eigenen Bild insbesondere bei Prominenten, Stabilisierung des Themas. ab etwa 970: Breit einsetzende Politisierung des Datenschutzes, Bürgerrechtsthema. ab Ende der 970er: Verrechtlichung und Institutionalisierung des Datenschutzes, dogmatischer Höhepunkt 98: Recht auf informationelle Selbstbestimmung ( Volkszählungsurteil ) und Abschluss der Einrichtung der Landesdatenschutzbeauftragten. ab Mitte der 990er: Technisierung des Datenschutzes: Privacy-Enhancing-Technologies (PET), Leitlinie: Datenschutz durch Technik ab ca. 000: Ökonomisierung des Datenschutzes: Datenschutz-Gütesiegel und Audit, Leitlinie: Privacy sells. ab Sommer 006: Im ULD nachgefragte Praxis und strategische Leitlinie: Datenschutz durch Prozessmanagement! 8
Datenschutz heute bedeutet: Prozessmanagement Gesamtgesellschaftlich: Datenschutz ist reflektiertes Kommunikationsmanagement, ein Unter- Bedingungen-Stellen von Kommunikationen, die sich zweckgebunden zwischen Organisationen und Personen ereignet. Das bedeutet für Organisation: Datenschutz muss zu einem integrierten Bestandteil von Workflows werden! Datenschutzmanagement ist Prozessmanagement 9 Datenschutzanforderungen, rechtlich Zulässigkeit Verarbeitung personenbezogener Daten bedarf einer IMMER einer Rechtsvorschrift oder Einwilligung durch die Person. Erforderlichkeit Verarbeitung der Daten ist für eine Fachaufgabe notwendig. Datensparsamkeit Keine oder möglichst wenige personenbezogenen Daten erheben/verarbeit. Zweckbindung Verarbeitung der Daten nur für den Zweck, für den sie erhoben wurden. Transparenz Kenntnis über Strukturen und Prozesse der Verarbeitung von Daten und Datenströme. Lassen sich diese Anforderungen möglicherweise besser als bislang technisch erfüllen? 0
Relevante Datenschutzrechtsvorschriften Telekommunikationsgesetz Telemediengesetz Verwaltungsverfahrensgesetze Signaturgesetz Allgemeine und breichsspezifische Datenschutzvorschriften BDSG (Bundesdatenschutzgesetz) Enthält Regelungen vornehmlich für den Privatbereich (Firmen) und für die öffentliche Verwaltung des Bundes LDSG (Landesdatenschutzgesetz(e)) Enthält Regelungen für öffentliche Verwaltungen im Land (DSVO (Datenschutzverordnung, speziell in Schleswig-H.)) Datenschutzanforderungen, technisch Vertraulichkeit Schutz von Daten vor unberechtigter Kenntnisnahme Verfügbarkeit Daten müssen zeitgerecht und ordnungsgemäß verarbeitet werden. Authentizität Personenbezogene Daten müssen ihrem Ursprung zugeordnet werden können. Revisionsfähigkeit Verarbeitung personenbezogener Daten muss nachträglich überprüfbar sein. Pseudonymisierg Die Zuordbarkeit personenbezg. Daten kann unter Bedingungen gestellt werden Anonymisierung Personenbezug von Daten kann gelöscht werden. Identity- Nutzern müssen die nötigen technischen management Mittel für Anonym./Pseudonymverwaltung zur Verfügung gestellt werden.
Technische Datenschutz-Komponenten Vertraulichkeit Verschlüsselung von Daten/ Zugangsberechtigungen Verfügbarkeit Redundanz Authentizität Signaturen / Zugriffsberechtigungen Revisionsfähigkeit Protokollierung (und deren methodische Auswertung!) ist von zentraler Bedeutung. Beantwortet die Frage: Was war/ist der Fall? Pseudonymisierung Wandlungsskripte Anonymisierung Anonymisierungsserver (AN.ON, Tor) Identitymanagement Erste Applikationen z.b. - anonyme Credentials bei IDEMix - Liberty Alliance - Infocard bei Vista Kurzer Zwischenstopp: Datenschutz nicht immer gleichbedeutend mit Datensicherheit!. Datenschutz interessiert sich ausschließlich für personenbezogene Daten, nicht für den Schutz wertvoller Daten (wie Geschäftsdaten, Forschungsdaten, Patentdaten ) schlechthin.. Datenschutz setzt voraus, ist aber nicht gleichzusetzen mit Datensicherheit (Beispiel Firewall-Konflikt bei DOS-attack : FW-Admin muss alles wissen. Also: auch die Inhalte der Mails seiner Chefs, oder des Betriebsrates oder der F/E-Abteilung zur Kenntnis nehmen?) 4
Datenschutzanforderungen, Prozessmanagement Es gilt, die Verarbeitung personenbezogener Daten durch die informationstechnisch immer stärker werdenden Organisationen für den gesamten Lebenszyklus und in den verschiedenen Prozessen kontrolliert zu konzepieren und modellieren, revisionsfest prüfbar und dadurch transparent und zweckgebunden zu implementieren und zu betreiben. 5 Aktuelle Prozeß(gestaltungs)paradigmen Organisations-/IT-Bereich: ITIL (IT Infrastructure Library, GB) COBIT4.0 (Control Objectives for Information and Related Technology, CA) SOA (Service-Oriented Architectures) Informationssicherheit BSI-Grundschutz (BSI00-,,) ISO 7799 Finanzcontrolling/ Auditing COSO (CA) SAS70 (USA, relevant für Sarbanes Oxley Act) Qualitätsmanagement ISO900xx Projektmanagement V-Modell XT (Standard PjMethode bei Bundesverwaltungen, D) PRINCE (Projects in Controled Environments, Prj-Std. in GB/NL, DK, Pl) 6
SOA? Oder: Was Datenschützer an Service-Orientierung und Datenkapselung gut finden. 7 SOA SOA ( Service-Oriented-Architecture ) bezeichnet ein Set von strategischen Leitlinien des Zuschnitts von organisatorischen und technischen Abläufen. SOA-Kernidee : Bei Störungen der Umwelt auf die eigene Organisation (konkret: neuartige Kundenaufträge, Gesetzes- oder Marktänderungen, technische Innovationen ) schnellstmöglich und effektiv zu reagieren. Kernidee umsetzbar zu machen bedeutet: Über eine Strategie zu verfügen, mit der schnell klar wird, welche der in einer Organisation aktuell implementierten IT-Prozesse verändert und welche stabil gehalten werden können. 8
SOA - IT Im Design des IT-Betriebs bedeutet schnelle Umsetzung von neuen Anforderungen ( Changes ) absehbar wiederkehrende IT-Prozesse und Datenströme zu standardisieren und als Infrastruktur-Service vor die Klammer zu ziehen. Konkret braucht man für fast jede relevante Leistung einer Organisation Services bspw. der folgenden Art: Einen Authentisierungs-Service für Menschen und Maschinen (PKI/Zertifikatehandling, Zeitstempel, LDAP-Server ) Einen Payment- und Liefer-Service Einen Formular-Service für das Datenhandling zum Kunden Einen Generator für die Gestaltung von Workflows Ein Gateway, ein WebPortal für den zentralen Einstieg Einen revisionssicheren Protokollierungsservice für Transaktionen 9 Warum finden Datenschützer die genannten Aspekte des SOA-Ansatz gut? Eine klare Gestaltung von Prozessen, die jeweils einen ganz fest zugeschnitten Zweck operativ umsetzen, bedeutet. eine verbesserte Chance auf Transparenz beim Planen und Konzipieren von IT UND Organisation, Modellieren, Absichern, Dokumentieren, Testen, und vor allem: Protokollieren und dadurch (intern und extern) Kontrollieren. SOA verbessert die Chancen auf Transparenz und Compliance. die Möglichkeit der Zuordbarkeit von Verantwortung. 0
SOA Kernidee : Organisationsübergreifende Prozessketten Es liegt auf der Hand, Prozessketten organisationsübergreifend einzurichten. Und das hat Folgen SOA und WebServices Sind Prozesse erst einmal standardisiert liegt es nahe, die Prozessketten an der eigenen Organisationsgrenze, die meist einer zentralen Sicherheitsdomäne untersteht, nicht aufhören zu lassen. SOA meint nämlich auch die Verschränkung unabhängig voneinander bestehender, lose gekoppelter Dienste auf beliebigen Plattformen, die unter verschiedenen Betriebssystemen laufen können. Organisationsübergreifende Prozesse werden zumeist mittels WebServices realisiert, durch Rückgriff auf Standards wie SOAP ( Simple Object Access Protocol ) WSDL ( Web Services Description Language ) UDDI ( Universal Description, Discovery and Integration ) CORBA ( Common Object Request Broker Architecture ) DCOM ( Distributed Component Object Model ) WCF ( Windows Communication Foundation ) EJB ( Enterprise Java Beans )
Was ist ein WebService? Ein Web Service bzw. Webdienst ist eine Software- Anwendung, die mit einem Uniform Resource Identifier (URI) eindeutig identifizierbar ist und deren Schnittstellen als XML-Artefakte definiert, beschrieben und gefunden werden können. Ein Web Service unterstützt die direkte Interaktion mit anderen Software-Agenten unter Verwendung XML-basierter Nachrichten durch den Austausch über internetbasierte Protokolle. (Wikipedia WebService, Stand: 7..006) Organisationsübergreifende Prozessketten sind im Grundsatz offen, also: riskant! Datensicherheit: Es gibt keinen zentral kontrollierbaren Sicherheitskontext (vergleichbar einem Host oder C/S-Architektur), Komponenten und Services befinden sich auf verschiedenen Systemen zu verschiedenen Zeiten. Datenschutz: Daten auf verschiedenen Systemen können im Prinzip zweckentfremdet verarbeitet werden. Von einer vertraglich durchgängig angemessenen Gestaltung auszugehen ist ebenso unrealistisch wie die Unterstellung, dass alle Beteiligten gesetzeskonform agieren. 4
SOA - datensicher Für kurze Prozessketten ( Punkt-zu-Punkt -Verbindungen) nimmt man SSL-authentifizierte/verschlüsselte Verbindungen. (Insbesondere für organisationsinterne Verbindungen.) Für Prozessketten über mehrere, technisch möglicherweise ganz unterschiedlich gestaltete Vermittlungsstellen reichen, ist eine HTTP-basierte Sicherheit unzureichend. Stattdessen wird WS Security auf Nachrichtenebene eingesetzt. (WSS ist Standardisierungsumgebung, wobei in komplexen Umgebungen typischerweise Kerberos-Tickets und X.509-Zertifikate zum Einsatz kommen.) Und: Daten werden auf der Nachrichtenebene per XML gekapselt. Das Ziel: Es kann nur ein spezifisch zuständiger Service mit derart gekapselten Daten etwas anfangen! 5 Warum finden Datenschützer die Datenkapselung der WSes gut? Die Kapselung von Daten erhöht zunächst allgemein die Chance, dass den per XML strukturierten Nutzdaten mehr Strukturen mitgegeben werden können. Das kann konkret heißen: Policies konkret: vertragliche oder gesetzliche Regelungen können zu explizierten Bestandteilen transportierter Daten werden. Und dass kann heißen: Daten werden nur dann verarbeitet, wenn Policies von Sender und Empfänger übereinstimmen. SOA/WebServices erhöhen die Chance, dass Daten technisch ausschließlich zweckbestimmt und transparent verarbeitet werden! 6
Also: Schöne neue SOA-Welt? Theoretisch: JA! Aber in der Praxis gibt es jede Menge Probleme, um einen dedizierten IT- Service aufzusetzen Zum Beispiel beim Service Automatisierte Protokollierung (Logging, Monitoring) 7 SOA und Protokollierungsbedarf Bei vollautomatisiert ablaufenden Prozessketten besteht im Falle von Fehlfunktionen sowie generell für Revisionszwecke der Bedarf, dass eine Abteilung bzw. eine Organisation nachweisen kann, dass sie ihre Prozesse, für die sie verantwortlich ist, korrekt, das heisst: policykonform, verarbeitet hat. Policykonformität kann sich vor allem beziehen auf die Einhaltung von vertraglichen Festsetzungen gesetzlichen Regelungen technischen Standards. 8
Viele Protokollierungsanforderungen Rechtliche Anforderungen, bspw. im Rahmen des BDSG Sarbanes-Oxley-Act, EU-Richtlinie 8, Basel II Generierung verlässlicher Kennzahlen (KPI) Hochauflösende Nachweispflichten bezüglich Finanzkontrolle Nachweis eines sicheren IT-Betriebs verbessert Kreditkonditionen Etablierte Governance/Prozessmanagement-Paradigmen Steuerung von Workflows nach COBIT4.0 und IT-Zuschnitt auf ITIL-Basis verlangen im Rahmen von best-practise-erfahrungen der letzten 0 Jahre Rückgriff auf belastbare Protokolldaten. Das Problem ist nur: Protokolldaten auf Standardbetriebssystemen sind notorisch unzuverlässig. 9 Protokollierung gemäß BDSG Bundesdatenschutzgesetz (Anlage zu 9 Satz ) Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderung des Datenschutzes gerecht wird. Maßnahmen sind zu treffen, die folgendes ermöglichen:. Zutrittskontrolle,. Zugangskontrolle,. Zugriffskontrolle, 4. Weitergabekontrolle (Überprüfen), 5. Eingabekontrolle (Überprüfen), 6. Auftragskontrolle, 7. Verfügbarkeitskontrolle 8. Trennung bei unterschiedlichen Zwecken. 0
WS-Logging Wo ist bitteschön das Problem?. Protokolldaten sind sehr einfach zu erzeugen. Zweckbindung? Datensparsamkeit?. Protokolldaten sind sehr einfach zu unterdrücken, manipulieren, zu löschen. Wie sind die Tätigkeiten der Systemadministration zu kontrollieren?. Die Auswertung von Protokolldaten geschieht typischerweise ungeregelt. Technische Logdaten bzgl. des Betriebssystems Technische Logdaten bzgl. der Netzwerkfunktionalitäten (Server, Router, Firewall...) Technische Logdaten bzgl. der Applikation(en) Protokolldaten bzgl. Nutzer-Authentisierungen und Autorisierungen Protokoll-Metadaten für Eigenschaften von Dokumenten Protokoll-Workflow-Daten Die vier wichtigsten Protokollierungsfelder Nachweisbarkeit der Compliance (z.b. bezgl. Hauspolicy, Verträgen, (externem) Finanzcontrolling, Gesetzeslage) im Rahmen von organisationsübergreifenden Partnerschaften in WebServices- bzw. SOA-Prozessketten. Das bedeutet vor allem die Einrichtung von durchgängig beweissicherer Verhaltenskontrolle der Tätigkeiten der Systemadministration insbesondere bei Struktur verändernden Eingriffen. anlassbezogener beweissicherer Kontrollmöglichkeit der Tätigkeiten von Mitarbeitern, jedoch ohne Leistungs- und Verhaltenskontrolle. beweissicherer bzw. revisionsfester Leistungs- und Verhaltens-Kontrolle der Tätigkeiten der Organisation des Auftragnehmers.
Protokollmeldung unter Windows00Server Sofort pragmatisch umsetzbare Protokollierungslösungen in SOA-Umgebungen Protokolleinträge des Betriebssystems und der Applikationen sichten und entsprechend den betrieblichen Vereinbarungen konfigurieren. Protokolldaten generell weg von Produktionsmaschinen! Und speichern auf zentralem SOA- Protokollserver unter Windows: Domain-Controller unter Unix: Umlenken des syslogd auf zentralen Server, und Verwendung der Enterprise-Audit-Shell (eash) Prüfen, ob Pseudonymisierung/ Anonymisierung unvermeidlicher personenbezogener Protokolleinträge sinnvoll und möglich ist. 4
Kontakt Martin Rost E-Mail: LD@datenschutzzentrum.de Telefon: 04 988 9 ULD Adresse: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 40 Kiel, Holstenstraße 98 Telefax: 04 988 E-Mail: mail@datenschutzzentrum.de Web: www.datenschutzzentrum.de CeBIT007 Halle Stand: D06 5