Informationsmaterial
Homepage

Wir über Uns
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

Datenschutz und
informationstechnische Sicherheit
bei PCs


Was ist grundsätzlich zu wissen und zu beachten?
  1. Was ist grundsätzlich zu wissen und zu beachten?

Zur Inhaltsübersicht 3. Wie wird die informationstechnische Sicherheit beim PC-Einsatz sichgestellt?

3.1

Gegen welche Bedrohungen und Risiken müssen die PC's geschützt werden?

3.1.1 Welche Grundbedrohungen sind beim PC-Einsatz zu berücksichtigen?

Nach der Definition des IT-Sicherheitshandbuchs des BSI ist informationstechnische Sicherheit gegeben, wenn die Anwendungen der Informationstechnik vor möglichen Bedrohungen geschützt sind.

Zur Klassifizierung der Bedrohungen werden zunächst die sog. Grundbedrohungen herangezogen. Es handelt sich bei der "klassischen" Datenverarbeitung um die Bedrohung der Verfügbarkeit der Systeme, Programme und Daten, der Integrität der Systeme, Programme und Daten sowie der Vertraulichkeit der Daten. Nimmt man die Datenkommunikation in (großen) Netzen hinzu, so ist auch die Bedrohung der Authentizität (Verläßlichkeit) der übertragenen Daten bzw. Dokumente zu den Grundbedrohungen hinzuzurechnen. Im Zusammenhang mit dieser Broschüre soll die Bedrohung der Authentizität keine Rolle spielen.

Bedrohung der Verfügbarkeit

Es ist zu verhindern, daß

  • informationstechnische Systeme oder Einzelkomponenten solcher Systeme durch Verlust oder Funktionsuntüchtigkeit für die vorgesehenen Anwendungen nicht zur Verfügung stehen;
  • Programme durch Löschung oder Veränderungen, die sie funktionsuntüchtig machen, nicht genutzt werden können;
  • Daten dadurch, daß sie gelöscht wurden oder der Zugriff auf sie nicht mehr möglich ist, nicht verwendet werden können.

Die Beeinträchtigung der Verfügbarkeit verhindert die vorgesehenen Datenverarbeitungsprozesse.

Bedrohung der Integrität

Es ist zu verhindern, daß

  • informationstechnische Systeme oder Einzelkomponenten solcher Systeme so verändert (verfälscht) werden, daß vorgesehene Funktionen entfallen, sich in unerwünschter Form verändern oder unerwünschte Funktionen hinzugefügt werden;
  • Programme so verändert (verfälscht) werden, daß vorgesehene Funktionen entfallen, sich in unerwünschter Form verändern oder unerwünschte Funktionen hinzugefügt werden;
  • Daten in unerwünschter Weise verändert oder verfälscht werden.

Die Beeinträchtigung der Integrität verfälscht die Ergebnisse der Datenverarbeitungsprozesse.

Bedrohung der Vertraulichkeit

Es ist zu verhindern, daß Unbefugte Daten zur Kenntnis erhalten oder gar nutzen können.

Die Beeinträchtigung der Vertraulichkeit gefährdet je nach Art der Daten Persönlichkeitsrechte oder wichtige, manchmal existentielle Interessen von Staaten, Behörden oder privaten Organisationen.

3.1.2 Wie erfolgt eine Risikobetrachtung für die Erarbeitung eines Sicherheitskonzeptes?

Die Maßnahmen zur Sicherheit der Datenverarbeitung und zur Sicherstellung des technischen und organisatorischen Datenschutzes sollten auf einem Sicherheitskonzept beruhen, welches sich gegen realistische Bedrohungen in angemessener Weise und nach dem Stand der Technik richtet. Es wird kein Sicherheitskonzept auf Akzeptanz stoßen, also vernünftig umgesetzt und in der täglichen Routine beachtet werden, das nicht dadurch gerechtfertigt werden kann, daß es gegen nachvollziehbare Gefahren schützt.

Das IT-Sicherheitshandbuch des BSI [Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheitshandbuch - Handbuch für die sichere Anwendung der Informationstechnik, Version 1.0 - März 1992] beschreibt ein differenziertes Verfahren zur Bedrohungs- und Risikoanalyse, dessen Anwendung empfehlenswert ist, jedoch für den einzelnen PC-Einsatz unangemessen aufwendig sein dürfte.

Demgegenüber wird im IT-Grundschutzhandbuch des BSI [Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch [LINK] - Maßnahmenempfehlungen für den mittleren Schutzbedarf, letzte Version von 1997, Bundesanzeiger Verlagsges. GmbH, Köln] die Risikoanalyse zu einer Schutzbedarfsfeststellung pauschalisiert. Danach werden Gefährdungen durch

  • höhere Gewalt,
  • organisatorische Mängel,
  • menschliche Fehlhandlungen,
  • technisches Versagen und
  • vorsätzliche Handlungen

beschrieben und Maßnahmen

  • an der Infrastruktur,
  • der organisatorischen Gestaltung,
  • personeller Art,
  • an Hard- und Software,
  • an der Kommunikationstechnik und
  • für die Notfallvorsorge

dargestellt, die sich gegen die Gefährdungen richten.

Es ist jetzt Sache der Anwender bzw. der anwendenden Organisation, in internen Diskursen die im Einzelfall zu betrachtenden Gefährdungen herauszufinden, zu gewichten und die entsprechenden Maßnahmen in das Sicherheitskonzept zu übernehmen.

Aus diesen Überlegungen wird deutlich, daß es kaum möglich ist, Standard-Sicherheitskonzepte unkritisch zu übernehmen. In jedem Einzelfall finden sich andere Rahmenbedingungen, die zu anderen Gefährdungslagen führen und somit andere Maßnahmen erfordern.

So sind zu beachten:

  • die personellen Gegebenheiten (Ausstattung, Qualifikation, Motivation ...)
  • baulichen und räumlichen Verhältnisse (Kellergeschoß, Dachgeschoß, irgendwo dazwischen, Einzelbüro, Großraumbüro, Publikumsverkehr ...)
  • die Art der eingesetzten Informationstechnik (PCs, PC-Netze, UNIX-Systeme, proprietäre Großrechner, Telekommunikationssysteme ...)
  • Anreize Unbefugter, sich die Daten zu beschaffen, Daten, Hard- und Software zu zerstören oder zu manipulieren. Diese Anreize können finanzieller Art, politisch begründet sein oder auf individuellen Rachegelüsten oder Frustrationen beruhen.
  • Anreize Befugter, die Daten zu mißbrauchen, Daten, Hard- und Software zu zerstören oder zu manipulieren. Auch diese Anreize können finanzieller Art, politisch begründet sein oder auf individuellen Rachegelüsten oder Frustrationen beruhen.
  • usw.

Eine Risikobetrachtung beruht auf Annahmen über die Schadenshöhe, die das Eintreten eines Ereignisses auslöst und über die Häufigkeit, mit der man mit dem Eintreten eines solchen Ereignisses rechnen muß. Maßnahmen, die sich gegen die Risiken richten, verringern den Schaden und/oder die Häufigkeit des Eintretens.

Ausreichend sind die Maßnahmen dann, wenn sie das Risiko eines Schadensereignisses auf ein akzeptabel geringes Restrisiko reduzieren. Der wirtschaftlichen Angemessenheit wird Rechnung getragen, indem man aus der möglichen Vielfalt von ausreichenden Maßnahmen jene ergreift, die in ökonomischer Hinsicht günstig sind.

Bei der Risikobetrachtung selbst dürfen ökonomische Aspekte keine Rolle spielen: Ein Risiko wird nicht dadurch geringer, daß Ausgaben für seine Eingrenzung zu befürchten sind!

Grundsätzlich gilt das Verhältnismäßigkeitsprinzip auch für Maßnahmen zur Verbesserung der informationstechnischen Sicherheit oder zur Sicherstellung des Datenschutzes. Der Schutzzweck, an dem sich die Verhältnismäßigkeit mißt, orientiert sich allerdings

  • am Schaden, der für den Betroffenen entsteht, wenn seine Daten unbefugt offenbart, verändert oder genutzt werden (Sichtweise des Datenschutzes),
  • am Risiko, das eine Organisation trägt, daß Daten unbefugt offenbart, verändert oder genutzt werden (Sichtweise der IT-Sicherheit),

auf keinen Fall jedoch

  • am Investitionsvolumen für die informationstechnischen Systeme und/oder
  • an den Kosten für die notwendigen technisch-organisatorischen Maßnahmen.

Nach wie vor gilt der Grundsatz, daß Daten deshalb nicht weniger zu schützen sind, weil sie nur mit PCs verarbeitet werden!

3.1.3 Was bedroht die Verfügbarkeit der Systeme, Programme und Daten?

Es kann vielfältige Ursachen haben, daß Systeme, Programme oder Daten gerade dann nicht verfügbar sind, wenn man sie braucht. Die Folgen fehlender Verfügbarkeit sind ebenfalls unterschiedlicher Art. Je nach Bedeutung einer IT-Anwendung für die Aufgabenerfüllung einer Organisation kann es zum einen nur lästig sein, aber eine willkommene Gelegenheit bieten, endlich einmal aufgeschobene Dinge zu erledigen, für die man das System nicht braucht, zum anderen kann es aber zur existenziellen Gefährdung von Organisationen führen, wenn die IT-Anwendungen allzulange ausfallen. Solche Konsequenzen wird der Ausfall von PCs normalerweise nicht haben. Dennoch werden Arbeitsabläufe gestört, Aufgabenerledigungen erschwert und verzögert. Man muß also die konkreten Risiken erkennen und etwas dagegen tun.

Höhere Gewalt, versehentliches, fahrlässiges oder absichtliches Fehlverhalten von Mitarbeitern und Außenstehenden, organisatorische Schwachstellen und Mängel sowie technisches Versagen können Ursachen dafür sein, daß ein System nicht zur Verfügung steht, Programme nicht ausgeführt werden können, Daten verschwunden sind.

Die Zuordnung der Maßnahmen zu den einzelnen Risiken und Bedrohungen erfolgt nach folgenden Kriterien:

  • Spielt eine Maßnahme eine ausschlaggebende Rolle bei der Einschränkung eines Risikos, so erfolgt der Verweis in Fettdruck.
  • In der Regel werden Risiken durch eine sinnvolle Kombination diverser Maßnahmen reduziert. Der Verweis auf solche Maßnahmen wird nicht besonders hervorgehoben.
  • Es gibt viele weitere Maßnahmen, die zumindest mittelbar dämmenden Einfluß auf ein Risiko haben können. Soweit sie naheliegend sind, erscheint ein Verweis in (Klammern).

Manche der in 3.2 erwähnten Maßnahmen können in speziellen Einzelfällen und unter bestimmten Voraussetzungen bei der Eindämmung eines Risikos helfen. Es ist daher nicht ausgeschlossen, daß es auch Maßnahmen gibt, an die man denken könnte, die aber keinen Verweis erhalten haben.

Nr. Risiko/Bedrohung Erläuterung Maßnahme (3.2)




R01




Feuer

Höhere Gewalt, die die Verfügbarkeit der Systeme bedroht, liegt vor bei

und

M12, M21, M22, M44, M49, M51, M73, M90, M96

R02

Wassereinbruch

durch Überschwemmungen, Rohrbrüche, eindringendes Regenwasser.
Auch

M12, M21, M22, M44, M49, M51, M73, M90, M96

R03

Überspannungen,

hervorgerufen durch Blitzschlag oder Störungen in der Stromversorgung müssen beachtet werden.

M12, M20, M21, M22, M35, M44, M49, M51, M73, M94, M95, M96


R04


Ausfall von Mitarbeitern

Höhere Gewalt kann auch der
sein. Die Ursachen: Krankheit, Unfall, Tod, Streik und als nichthöhere Gewalt: vorsätzliches Fernbleiben.

M15, M16, M22



R05



Sabotage

Absichtliches Fehlverhalten ist auch die
an Hard- und Software oder durch das Löschen bzw. Verändern von Daten





sowie der

M01, M04, M05, M06, M12, M18, M22, (M31), M32, M33, M34, M37, M39, M40, M43, M44, M45, M49, M58, M59, M61, (M62), M73, M80, M81, M82, M90, M91, M92, M93, M96, M100

R06

Diebstahl (--> R20)

von Hardwarekomponenten und Datenträgern.

M01, M04, M05, M06, M07, M12, M18, M22, M24, M25, M26, M27, M28, M29, M31, M32, M33, M34, M44, M49, M50, M51, M67, M68, M73, M74, M78, M79, M81, M90, M91, M92, M93, M96, M100




R07




fahrlässige Zerstörung oder Beschädigung von Geräten,

Aus Versehen oder aus Fahrlässigkeit kann ebenfalls manches passieren: Die

zum Beispiel durch auslaufende Getränke, Hinabstoßen von empfindlicher Hardware (z.B. bei der Raumreinigung oder beim Möbelrücken) tangiert ebenso die Verfügbarkeit des Systems wie

M02, M04, M05, M18, M91, M92, M93

R08

Bedienungsfehler

von Benutzern und Systemverwaltern, die zur Zerstörung von Daten, Veränderung der Programmumgebung, vieleicht sogar zur Beschädigung von Hardwarekomponenten führen können.

(M01), M02, M11, M12, M20, (M44), M96


R09


Nichtbeachtung der Sicherheitsregeln

Die


und die

(M01), M02, M03, M11, M30, M55, M82, M100, M101

R10

Unterlassung bzw. Nichtaktivierung von Sicherheitsmaßnahmen



kann ebenfalls leicht dazu führen, daß die Informationsverarbeitung ausfällt.

M02, M03, M11, M16, (M62), M82



R11



unerlaubte Ausübung von Zugriffsrechten
(--> R23)

Organisatorische Mängel liegen vor, wenn die

fahrlässige oder vorsätzliche, auf jeden Fall jedoch
möglich ist. Sie kann zu unautorisierten Datenlöschungen und -manipulationen, zur Löschung und Manipulation von Programmen führen.

M09, M10, M17, M19, M52, M53, M54, M56, M57, M58, M59, M61, M62, M63, M64, (M65), (M66), M76, M83, M84, M89, M98, M100, M101


R12


Computeranomalien
(--> R17)

Das mannigfaltige Auftreten von
wie Computerviren, trojanische Pferde, Makro-Viren, Würmer sind zwar böswillige Angriffe auf die Sicherheit der IT-Systeme, meist aber auch ein Zeichen für organisatorische Schwachstellen, wenn sie erhebliche Wirksamkeit erlangen.

M06, M12, M13, M20, M22, M36, M39, M40, M43, M44, M45, M47, M48, M51, M71, M72, M85, M86, M87, M96




R13




Unterbrechung der Stromversorgung

Technisches Versagen ist die Ursache von Schäden, wenn eine

zu beklagen ist.

M20, M22, M35, M94, M95


R14


defekte Datenträger,

Sie kann Ursache sein für
insbesondere Festplatten.

M06, M12, M20, (M35), M44, M51, M94, M95, M96


R15


fehlerhafte Software

Aber auch
kann zu Datenverlusten und Doppelarbeit führen. Wer hat sich nicht schon darüber geärgert, wenn eine Speicherschutzverletzung bei Anwendung verbreiteter Standardsoftware vorkam.

M12, M20, M44, M96

3.1.4 Was bedroht die Integrität von Systemen, Programmen und Daten?

So ärgerlich es auch ist, wenn sich Bedrohungen der Verfügbarkeit realisieren, also ein System ausfällt, ein Programm nicht aufgerufen werden kann oder Daten fehlen: Immerhin merkt man es gleich und kann zur Schadensbegrenzung übergehen. So einfach ist es jedoch nicht, wenn sich Bedrohungen der Integrität realisiert haben, ein solcher Schadensfall also eingetreten ist. Eine Veränderung eines Systems, eines Programms, eines Datums, die ungewollt eingetreten ist, möglicherweise absichtlich veranlaßt wurde, allerdings nicht zum Ausfall von Funktionen führt, kann zu Veränderungen der Informationsverarbeitung führen, die letztlich zu falschen Ergebnissen führen können. Schutzmechanismen können ausgeschaltet oder zu mehr Unsicherheit beitragen. Es ist keineswegs sicher, daß die Veränderungen bemerkt werden, bevor größere Schäden - etwa bei Kunden und beim Bürger oder durch Entscheidungsfindungen, die auf fehlerhaften Daten beruhen, eingetreten sind.

Nr. Risiko/Bedrohung Erläuterung Maßnahme (3.2)


R16


unkontrollierte Einbringen fremder Datenträger mit unautorisierten Programmen oder falschen Daten

Durch das



können Programme und Daten verfälscht werden

(M03), M06, M13, M17, M18, M19, M24, M25, M26, M36, (M39), (M40), (M45), M46, M47, M48, M49, M50, (M52), (M53), (M58), (M59), (M61), M62, (M63), (M64), M71, M72, M73, M74, (M82), M83, M85, M86, M87, M88, (M97), M100

R17

Computeranomalien
(--> R12)

können - meist - unbeabsichtigt über bewegliche Datenträger, insbesondere Disketten, in den PC eingeschleust werden.
Auch moderne Kommunikationsverfahren wie das Internet, vor allem beim Empfang von E-Mail oder dem Herunterladen von Software, vergrößern die Risiken einer Infektion mit Viren, auch Makroviren.

M06, M12, M13, M20, M22, M36, M39, M40, M43, M44, M45, M47, M48, M51, M71, M72, M85, M86, M87, M96





R18





unbefugte und unkontrollierte Änderungen der Systemkonfiguration, von Programmen und Daten

Damit Sicherheitsrichtlinien bzw. speziell eingerichtete Sicherheitsfunktionen nicht umgangen werden können, müssen





verhindert werden, da sonst Zugriffsrechte gelöscht oder verfälscht werden können.

(M03), M08, M11, M12, M17, M19, (M36), M37, M38, M39, M40, M41, M42, M44, M45, M46, (M47), (M48), (M52), (M53), M54, M56, M57, M58, M59, M60, M61, M62, (M63), (M64), M65, (M71), (M72), M80, M83, (M84), (M85), (M86), (M87), M88, M89, M96, M97, M100, M101

R19

Schädigungen des Datenbestandes


können nach dem Ausfall des Systems z.B. durch das nicht ordnungsgemäße Zurückschreiben von Datensätzen entstehen, insbesondere wenn es dabei zu Inkonsistenzen in der Datenbank kommt. Gleiches kann durch den unsachgemäßen Umgang mit IT-Anwendungen entstehen, so daß z.B. Daten unabsichtlich verändert oder zerstört werden.

M12, M20, (M30), (M35), M43, M44, M94, M95, M96

3.1.5 Was bedroht die Vertraulichkeit der Daten?

Aus datenschutzrechtlicher Sicht ist die Vertraulichkeit der Daten von besonderer Bedeutung. Aus dem Blickwinkel der informationstechnischen Sicherheit wird die informationelle Selbstbestimmung der Menschen in erster Linie durch die Verletzung der Vertraulichkeit ihrer Daten beeinträchtigt.

Beim PC-Einsatz ist auf folgendes zu achten:

Nr. Risiko/Bedrohung Erläuterung Maßnahme (3.2)


R20


Diebstahl (--> R06)

Mit dem
eines PCs, dessen Festplatte vertrauliche Daten enthält, oder von Datenträgern, die solche Daten enthalten, kann es zur Offenbarung dieser Daten gegenüber Unberechtigten kommen.

M01, M04, M05, M06, M07, M12, M18, M22, M24, M25, M26, M27, M28, M29, M31, M32, M33, M34, M44, M49, M50, M51, M67, M68, M73, M74, M78, M79, M81, M90, M91, M92, M93, M96, M100





R21





unzureichende Löschung von Datenträgern

Werden Datenträger (auch ausgebaute Festplatten) oder PCs ausgesondert, so kann durch die

die Vertraulichkeit der Daten empfindlich verletzt werden.

M02, M06, M08, M75, M99


R22


unbefugte Zugriffe auf den PC

Durch








und die

M04, M05, M09, M17, M18, M19, M31, M32, M38, M41, M42, M52, M54, M56, M57, M60, M62, M63, M68, M76, M79, M84, M90, M91, M92, M93, M97, M98, M100, M101

R23

unerlaubte Ausübung von Zugriffsrechten
(--> R11)


können die Daten ebenfalls in falsche Hände geraten.

M09, M10, M17, M19, M52, M53, M54, M56, M57, M58, M59, M61, M62, M63, M64, M65, M66, M76, M83, M84, M89, M98, M100, M101



R24



Ausspähung von Daten auf dem Bildschirm

Weiter ist darauf zu achten, daß die

verhindert wird.

M04, M18, M23, M76, M98




R25




kompromittierende Abstrahlung des Bildschirms

Dies gilt u.U. auch für das Ausspähen aus der Ferne, nämlich weil die


(elektromagnetische Abstrahlung eines Bildschirms, dessen Inhalt mit speziellen Empfängern aus der Ferne auf einem Bildschirm sichtbar gemacht werden kann) ausgenutzt wird.

M23, M76, M77, M98





R26





Ausspähen gedruckter Daten

Konzentriert man sich allzusehr auf die elektronisch vorliegenden Daten, übersieht man leicht, daß auch das

oder die

M07, M08, M18, M23

R27

Entwendung von Listen

erhebliche datenschutzrechtliche Risiken in sich bergen.

M07, M08, M18, M23



R28



unbefugtes Lesen und Kopieren von Daten auf Datenträgern

Die Vertraulichkeit von Daten wird durch


ebenfalls außerordentlich gefährdet.

M06, M09, M10, M13, M17, M19, M27, M28, M36, M39, M40, M47, M48, M49, M50, (M52), (M53), M54, M56, M57, (M63), (M64), (M68), M71, M72, M73, M74, M75, (M79), M83, (M84), M85, M86, M87, M99, M100


R29


unbefugte Übertragung geschützter Daten.

Gleiches gilt für die

M09, M10, M14, M17, M19, (M52), (M53), M54, M56, M57, (M63), (M64), (M68), M70, (M79), (M84), M101


R30


unbefugter Zugriff auf geschützte Daten bei ihrer Übertragung

Ein


ist bei der Datenübermittlung ebenso zu verhindern wie die

M14, M67, M69

R31

Fehladressierung von Daten


beim Versand oder der Übertragung geschützter Daten.

M13, M14, M29, M70

Seitenanfang

3.2

Wie wird der PC gegen die Bedrohung geschützt? Wie werden die Risiken verringert?

3.2.1 Welche personellen und organisatorischen Maßnahmen sind zu ergreifen?

Organisatorische Regelungen sind zwingende Voraussetzung für die Durchführung von Maßnahmen zur Herstellung informationstechnischer Sicherheit.

Organisatorische Maßnahmen sind überall dort notwendig, wo Technik nicht greifen kann. Personelle Maßnahmen und die Schaffung eines sicherheitsorientierten Umfeldes gehören dazu. Schulungen müssen ein sicherheitsbewußtes Handeln fördern und die Sensibilität für Sicherheitsfragen aufbauen.

Organisatorische Maßnahmen können technische Sicherheitsmaßnahmen ergänzen. Sie sollten technische Systeme aber nur dann ersetzen, wenn eine technische Sicherung unverhältnismäßig wäre.

Bauliche Maßnahmen werden ebenfalls im Zusammenhang mit den organisatorischen Maßnahmen behandelt. Sie spielen beim PC-Einsatz nur eine untergeordnete Rolle.

Regelungen sind nicht nur nach gewissen Sicherheitskriterien zu treffen, sondern es ist auch deren Einhaltung zu kontrollieren.

Die Zuordnung der Risiken und Bedrohungen zu den einzelnen Maßnahmen erfolgt nach folgenden Kriterien:

  • Spielt eine Maßnahme eine ausschlaggebende Rolle bei der Reduzierung eines Risikos, so erfolgt der Verweis in Fettdruck.
  • Maßnahmen, die zusammen mit anderen ein Risiko einschränken können, werden nicht besonders hervorgehoben.
  • Es gibt viele weitere Maßnahmen, die zumindest mittelbar dämmenden Einfluß auf ein Risiko haben können. Soweit sie naheliegend sind, wurde ein Verweis auf das Risiko in (Klammern) angebracht.

Manche in 3.1 erwähnte Risiken können in speziellen Einzelfällen und unter bestimmten Voraussetzungen durch weitere Maßnahmen beeinflußt werden, auf die jedoch kein besonderer Hinweis erfolgt.

Die Referenz auf die 10 Kontrollanforderungen (Zehn Gebote), die in Abschnitt 4.1.2 dargestellt werden, benutzt folgende Abkürzungen:

ZG

Zugangskontrolle

ÜB

Übermittlungskontrolle

DT

Datenträgerkontrolle

EG

Eingabekontrolle

SP

Speicherkontrolle

AU

Auftragskontrolle

BE

Benutzerkontrolle

TR

Transportkontrolle

ZF

Zugriffskontrolle

OR

Organisationskontrolle

Personelle Maßnahmen

Nr. "Zehn Gebote" Maßnahme Erläuterung Risiko

M01

OR


Personalauswahl

Eine sorgfältige
hinsichtlich der Qualifikation und Zuverlässigkeit der Mitarbeiterinnen und Mitarbeiter sowie die

R05, R06, (R08), (R09), R20

M02 OR

Qualifizierung der Benutzer

sowohl in der fachbezogenen Anwendung der Systeme als auch in bezug auf Datenschutz und Datensicherheit im täglichen Umgang mit dem System sind wichtige Voraussetzungen für den datenschutzgerechten Einsatz der PCs.

R07, R08, R09, R10, R21

 
Organisatorische Regelungen
 

Nr. "Zehn Gebote" Maßnahme Erläuterung Risiko





M03





alle, insb. OR






Regelungen zur Verantwortungsverteilung, zu Zuständigkeiten, zu Befugnissen, zu sicherheitsrelevanten Abläufen.

Voraussetzung für den datenschutz- und sicherheitsgerechten PC-Einsatz ist ein sinnvolles Regelwerk mit

R09, R10, (R16), (R18)










M04









ZG








Regelungen über

  • den Zugang an den PC,

Vor allem sind die Rahmenregelungen für die Umsetzung der technisch-organisatorischen Maßnahmen des Datenschutzes hier bedeutsam, nämlich die

R05, R06, R07, R20, R22, R24

M05 ZG
  • Raumverschluß, Schlüsselverwaltung,

 

R05, R06, R07, R20, R22

M06 DT, SP
  • den Umgang mit Datenträgern,

 

R05, R06, R12, R14, R16, R17, R20, R21, R28

M07 DT, SP
  • den Umgang mit Listen,

 

R06, R20, R26, R27

M08 SP, OR
  • die Löschung von Datenträgern und Vernichtung von Listen,

 

R21, R26, R27

M09 SP, BE, ZF, EG
  • den Umgang mit Paßwörtern,

 

R11, R18, R22, R23, R28, R29

M10 ZF
  • Zugriffsberechtigungen,

 

R11, R23, R28, R29

M11 OR
  • die Systemverwaltung,

 

R08, R09, R10, R18

M12 OR
  • die Durchführung der Datensicherung,

 

R01, R02, R03, R05, R06, R08, R12, R14, R15, R17, R18, R19, R20

M13 TR
  • die Durchführung des Datenträgeraustausches,

 

R12, R16, R17, R28, R31

M14 ÜB, TR
  • die Durchführung von Datenübertragungen und deren Adressaten,

 

R29, R30, R31

M15 alle insb. OR
  • die Vertretung der einzelnen Funktionsträger,

 

R04

M16 OR
  • Dokumentationen und Aufzeichnungen,

 

R04, R10

M17 ÜB, EG, OR
  • den Umgang mit Protokollen,

 

R11, R16, R18, R22, R23, R28, R29

M18 ZG, OR
  • die Raumreinigung,

 

R05, R06, R07, R16, R20, R22, R24, R26, R27

M19 ZG, DT, BE, ZF, OR
  • die Wartung,

 

R11, R16, R18, R22, R23, R28, R29

M20 OR
  • das Vorgehen bei Systemstörungen,

 

R03, R08, R12, R13, R14, R15, R17, R19

M21 OR
  • das Verhalten in Unglücks- und Havariefällen,

 

R01, R02, R03

M22 OR
  • Ansprechpartner in besonderen Situationen


wie z.B. beim Auftreten von Störungen oder sicherheitsrelevanten Ereignissen.

vor allem:
R01, R02, R03, R04, R05, R06, R12, R13, R17, R20

 
Organisatorische Maßnahmen
 

Nr. "Zehn Gebote" Maßnahme Erläuterung Risiko



M23



SP




Aufstellung der Bildschirme und Drucker

Befindet sich der PC in Räumen mit Publikumsverkehr, ist die

so zu wählen, daß es den Besuchern nicht möglich ist, Einsicht in schutzbedürftige Daten zu erhalten.

R24, R25, R26, R27


M24

DT


eindeutige Kennzeichnung beweglicher Datenträger

Eine

(Disketten, Kassetten) sowie eine


R06, R16, R20

M25 DT

aktuelle, vollständige Auflistung beweglicher Datenträger



ist erforderlich, wenn auf bewegliche Datenträger nicht verzichtet werden kann. Dies ermöglicht die

R06, R16, R20

M26 DT

regelmäßige Vollständigkeits- und Authentizitätskontrollen der beweglichen Datenträger.

 

R06, R16, R20


M27

DT, SP


sicherer Verschluß beweglicher Datenträger

Auch ein

ist in diesem Zusammenhang selbstverständlich.

R06, R20, R28





M28




TR





sicherer Verschluß der beweglichen Datenträger beim Transport

Werden Datenträger mittels Boten oder Transportunternehmen transportiert, ist ein


sowie die

R06, R20, R28

M29 TR

Führung von Transportpapieren


(Empfangsbestätigungen etc.) notwendig.

R06, R20, R31


M30

OR


zentrale Beschaffung von PCs und der zugehörigen Hardwarekomponenten und Software sowie von Datenträgern

Die




schützt vor unüberschaubarem Wildwuchs.


R09, (R19)

3.2.2 Wie kann der Schutz der Hardwarekomponenten gewährleistet werden?

Schutz der Hardwarekomponenten ist der Schutz vor Verlust durch Einbruch oder Diebstahl, vor unbefugter Nutzung und Manipulation.

Nr. "Zehn Gebote" Maßnahme Erläuterung Risiko






M31






ZG







Raumverschluß mit Sicherheitsschloß

Befinden sich wertvolle Geräte, aber insbesondere PCs mit schutzbedürftigen Anwendungen in einem Raum, so ist für die Zeit, in der sich niemand im Raum befindet, der

zu gewährleisten.

(R05), R06, R20, R22



M32


ZG



authentifizierende Zugangskontrollsysteme

Denkbar sind auch weitergehende Verfahren wie

(karten- oder kennwortgeschützt), die eventuell auch eine

R05, R06, R20, R22

M33 ZG

Zugangsprotokollierung,

erforderlichenfalls auch eine

R05, R06, R20

M34 ZG, DT

Abgangsprotokollierung

ermöglichen.

R05, R06, R20


M35

OR


Einsatz einer USV-Anlage

Der
zur unterbrechungsfreien Stromversorgung schützt zumindest vor abrupten Systemzusammenbrüchen, die u.a. auch zu Schäden an den installierten oder eingeschobenen Datenträgern führen können.

R03, R13, (R14), (R19)






M36





DT






Verschluß der Datenträgerlaufwerke

Aus vielen oben und im weiteren beschriebenen Gründen stellt die unbefugte Nutzung von Datenträgerlaufwerken eine besondere Gefahr dar. Zum

(Diskettenlaufwerk, CD-ROM) müssen Laufwerksschlösser angeschafft werden. Eine kontrollierte Schlüsselvergabe verhindert den unberechtigten Gebrauch der Laufwerke

R12, R16, R17, (R18), R28








M37







OR








Versiegelung des PC-Gehäuses

Zum Schutz eingebauter Sicherheitskomponenten (Sicherheitskarte, SCSI-Controllerkarte usw.) oder zum Schutz gegen den Einbau z.B. eines unerlaubten Diskettenlaufwerkes sollte eine

erfolgen.

R05, R18


M38

BE


Verschluß der Stromversorgung

Der

stellt einen einfachen Schutz vor der unbefugte Benutzung des Systems dar. Dies sollte durch verschließbare Stromleisten erfolgen, da ein Kabel sehr leicht beschafft werden kann.

R18, R22






M39





DT, SP, OR






Verschluß oder
Versiegelung der externen Schnittstellen

Da unerwünschte periphere Geräte einfach an die parallele oder serielle Schnittstelle angeschlossen werden können, sollte der
die

ins Auge gefaßt werden.

R05, R12, (R16), R17, R18, R28


M40

DT, SP, OR


Deaktivierung der Schnittstelle

Alternativ ist die

mit Hilfe des BIOS (Basic Input Output System) oder mit geeigneten Sicherheitstools in Betracht zu ziehen.

R05, R12, (R16), R17, R18, R28


M41

BE


Benutzung des BIOS-Paßworts

Die

stellt einen einfach einzurichtenden Schutz dar, der jedoch relativ einfach zu umgehen ist.

R18, R22


M42

BE


Schlüsselschalter

Ein
kann den beiläufigen Zugriff auf den PC verhindern. Allerdings kann dieser Schutz leicht umgangen werden und reicht daher nur bei kurzzeitiger Abwesenheit.

R18, R22

3.2.3 Wie sind Programme gegen unerwünschte Veränderungen zu schützen?

Ist ein Programm zur Nutzung durch die Anwender freigegeben, so müssen sich die Verantwortlichen für den Anwendungsbereich darauf verlassen können, daß Änderungen des Programms unterbleiben bzw. mit ihnen abgestimmt werden (siehe auch Abschnitt 4.2). Änderungen werden notwendig, wenn Fehler zu beseitigen sind, wenn Änderungen der Arbeitsgänge im Anwendungsbereich Programmanpassungen erforderlich machen, wenn die Programmumgebung (Hardware, Systemprogramme etc.) Veränderungen unterworfen ist, die auch zu Änderungen der Anwendungsprogramme führen.

Auch bei Standard- und Systemprogrammen muß man sich vor unliebsamen Überraschungen schützen, die durch ungewollte Änderungen der Programme verursacht werden können.

Wie kommt es zu unerwünschten Programmveränderungen ?

Zunächst ist denkbar, daß Benutzer selbst Programmänderungen vornehmen, vielleicht mit der guten Absicht, Verbesserungen zu erreichen. Immerhin ist der Benutzer meist der erste, der Verbesserungsmöglichkeiten erkennt und sein Wissen dafür einsetzt, seine eigenen Arbeitsabläufe zu optimieren. Dennoch verliert die Freigabeprozedur für Programme, die für verbindlich geregelte Aufgaben eingesetzt werden, ihren Sinn, wenn solche Veränderungen nicht von den Anwendungsverantwortlichen autorisiert werden. Gleiches gilt z.B. auch bei der unautorisierten Installation anderer, vielleicht sogar modernerer Versionen von Standardprogrammen.

Weiterhin kann nicht ausgeschlossen werden, daß Störungen am Gesamtsystem zu zufälligen Veränderungen des Programmcodes oder von Parametern führen können, die ein Anwendungsprogramm fehlerhaft machen.

Nicht zuletzt ist die Wirkung von Programmanomalien (wie z.B. Computerviren) zu beachten, die durch die Infektion von System- und Anwendungsprogrammen zu unerwünschten Änderungen führen, die keineswegs immer gleich bemerkt werden können.

Nr. "Zehn Gebote" Maßnahme Erläuterung Risiko






M43






OR







Virenprüfung

Werden Programme, Dateien und Dokumente auf Datenträgern, über E-Mail oder Datenübertragungsdienste im Internet empfangen, so müssen sie einer
unterzogen werden. Es wird dringend empfohlen, diese Prüfungen auf speziell dafür gewidmeten PCs und mit mindestens zwei unabhängigen und aktuellen Virenprüfprogrammen durchzuführen.

R05, R12, R17, R19








M44







OR








Datensicherung

Um sicherzustellen, daß nach einer unerwünschten Veränderung der Programme, etwa durch Virenbefall, der ursprüngliche und als richtig erkannte Zustand wiederhergestellt werden kann, ist die regelmäßige
erforderlich. Die Datenträger der Datensicherung sollten so untergebracht sein, daß sie bei Schadensfällen nicht ebenfalls vernichtet werden.

R01, R02, R03, R05, R06, (R08), R12, R14, R15, R17, R18, R19, R20


M45

OR


Prüfung der Programme gegen unzulässige Änderungen

Die regelmäßig durchgeführte


kann Unregelmäßigkeiten bei der Datenverarbeitung rasch beheben.
Z.B. kann bei dem Verdacht der Programmanipulation mit Hilfe der Kopie aus der Datensicherung (Backup) oder mit einem Prüfsummenverfahren geprüft werden, ob sich das Programm verändert hat. Auch der Vergleich der Programmlänge mit der des Backups kann Hinweise auf Veränderungen geben.

R05, R12, (R16), R17, R18


M46

OR


selbsterstellte Programme nur in kompilierter bzw. versiegelter Form

Werden den Benutzern



im Zuge der Programmfreigabe zur Verfügung gestellt, so sind gezielte Veränderungen der Programme ohne besonderes Spezialwissen kaum noch möglich.

R16, R18


M47

DT


Verzicht auf Datenträgerlaufwerke (--> M71)

Der

bei Clients oder zumindest


der

R12, R16, R17, (R18), R28

M48 DT

Verschluß oder die
Sperrung der Datenträgerlaufwerke (--> M72)



bieten einen sicheren Weg, daß keine unautorisierten Programmversionen oder Tools zur Manipulation der Programme installiert und ausgeführt werden können.

R12, R16, R17, (R18), R28


M49

DT


sichere Unterbringung (--> M73)

Die




und

R01, R02, R03, R05, R06, R16, R20, R28

M50 DT, OR

Verwaltung der beutzten Datenträger (--> M74)


dient u.a. auch der Vorbeugung unautorisierter Programmveränderungen.

R06, R16, R20, R28


M51

DT, OR


sichere Hinterlegung der Datenträger mit Originalsoftware (einschließlich der Sicherungskopien),

Dies gilt insbesondere für die




damit der Arbeitsbetrieb schnellstmöglich wieder aufgenommen werden kann, wenn eine unerwünschte Programmveränderung aufgetreten ist.

R01, R02, R03, R06, R12, R14, R17, R20

3.2.4 Wie sind Programme gegen unberechtigte Nutzung zu schützen?

Die Nutzung von IT-Systemen erfolgt mit der Nutzung von Programmen. Wird dies verhindert, wird umgekehrt auch die Nutzung der Systeme verhindert. Andererseits soll möglicherweise nicht jeder befugte Benutzer auch zur Nutzung jedes Programms in einem System berechtigt sein. Zum Schutz vor der unberechtigten Nutzung von Programmen sind also Maßnahmen zu ergreifen:

Nr. "Zehn Gebote" Maßnahme Erläuterung Risiko


M52


ZG, SP, BE, ZF, EG



Identifizierung und Authentifizierung der Benutzer (--> M63)

Mit dem Einsatz spezieller Sicherheitssysteme, die die


ermöglichen, kann das System prüfen, ob jemand berechtigt ist, mit dem System zu arbeiten, also die in ihm enthaltenen Programme zu nutzen. Die Identifizierung erfolgt im Normalfall durch die Angabe einer Benutzerkennung. Zum Nachweis der Identität erfolgt die Authentifizierung.

R11, (R16),(R18), R22, R23, (R28), (R29)


M53

BE, ZF


organisatorisch festgelegte Benutzerprofile in differenzierte Zugriffsberechtigungen umsetzen
(--> M64)

Wenn diese Tools




können, kann für jedes Programm systemseitig geprüft werden, ob ein ansonsten befugter Systembenutzer auch zur Nutzung bestimmter Programme berechtigt ist.

R11, (R16),(R18), R23, (R28), (R29)




M54



ZG, SP, BE, ZF, EG




Einsatz von Paßwortverfahren.

Die Authentifizierung der Benutzer erfolgt gewöhnlich durch den

R11, R18, R22, R23, R28, R29


M55

OR


sicherheitsbewußter und datenschutzgerechter Umgang mit Paßwörtern (siehe Anlage 2).

Zu verlangen ist ein


R09


M56

ZG, SP, BE, ZF, EG


Einsatz von maschinenlesbaren Benutzerausweisen, z.B. Chipkarten,

Auch der

R11, R18, R22, R23, R28, R29


M57

ZG, SP, BE, ZF, EG


Einsatz von biometrischen Verfahren

oder der

kann für die Authentifizierung verwendet werden.

R11, R18, R22, R23, R28, R29


M58

ZF


Verhinderung des direkten Aufrufs von Betriebssystemkommandos durch den Benutzer,

Besonders wichtig ist die



vor allem bei PC-Betriebssystemen wie z.B. MS-DOS.

R05, R11, (R16), R18, R23


M59

ZF


Schutz der Betriebssystemoberfläche

Ohne den

vor unbefugter Nutzung können alle anderen systemseitigen Sicherheitsvorrichtungen umgangen und/oder beseitigt werden.


R05, R11, (R16), R18, R23





M60




BE





Bootschutz

Das o.g. Sicherheitssystem muß über das bisher dargestellte hinaus auch über einen
verfügen, da sonst - sofern Laufwerke verfügbar sind - die Sicherheitsvorkehrungen des installierten Systems durch das Einspielen eines ungeschützten Betriebssystems von einem externen Datenträger umgangen werden können.

R18, R22


M61

ZF


Verhindern der Unterbrechung von Start- und Ladevorgängen,

Auch das


z.B. von Treibern, Sicherheitstools und der Betriebssystemoberfläche, hilft gegen das Umgehen von Sicherheitseinrichtungen.

R05, R11, (R16), R18, R23


M62

ZF


Protokollierung der Programmnutzung

Die

kann zur nachträglichen Überprüfung herangezogen werden, bedarf aber ebenfalls spezieller Programme, weil die PC-Betriebssysteme eine Protokollierung nicht vorsehen.

(R05),(R10), R11, R16, R18, R22, R23

3.2.5 Wie sind die Daten vor unbefugtem Zugriff zu schützen?

Um die Vertraulichkeit von schutzwürdigen Daten, insbesondere von personenbezogenen Daten, zu gewährleisten, müssen Unbefugte daran gehindert werden, die Daten zur Kenntnis nehmen zu können. Um ihre Verfügbarkeit und Integrität sicherstellen zu können, müssen Unbefugte auch daran gehindert werden, die Daten zu löschen oder zu verändern.

Nr. "Zehn Gebote" Maßnahme Erläuterung Risiko

M63

ZG, SP, BE, ZF, EG


Identifizierung und Authentifizierung der Benutzer (--> M52)

Die


dient natürlich auch dem Schutz der Daten, denn es müssen Befugte und Unbefugte durch das System unterschieden werden können.
An die Identifizierung und Authentifizierung sind im Normalfall Zugriffsrechte auf bestimmte Datenbestände gekoppelt. Hat sich der Benutzer gegenüber dem System authentifiziert, erlangt er dadurch die Berechtigung, auf Daten zuzugreifen, für die er eine Zugriffsberechtigung besitzt.

R11, (R16),(R18), R22, R23, (R28), (R29)


M64

BE, ZF


Umsetzung organisatorisch festgelegter Benutzerprofile in differenzierte Zugriffsberechtigungen (--> M53)

Auch für die Daten ist daher die




notwendig.

R11, (R16),(R18), R23, (R28), (R29)


M65

EG


Protokollierung von Dateneingaben, -änderungen und -löschungen

Die



macht es möglich, versehentliche oder absichtliche Datenänderungen nachzuvollziehen.

(R11), R18, R23


M66

ZF


Protokollierung von Datenabrufen

Die

ist zumindest bei sensiblen Daten ein geeignetes Instrument für die Verfolgung unbefugter Datenzugriffe.

(R11), R23


M67

SP, TR


Verschlüsselung der Daten auf beweglichen Datenträgern

Die


dient der Vertraulichkeit und Integrität der Daten während der Aufbewahrung und des Transports.

R06, R20, R30


M68

SP, ZF


Verschlüsselung der Daten auf Festplatten (--> M79)

Die

ist besonders geeignet, um z.B. im Falle der Entwendung eines Computers den Schutz der Daten zu gewährleisten. Werden verschiedene Dateien mit unterschiedlichen Schlüsseln auf der Festplatte verschlüsselt, dient dies auch dem differenzierten Zugriff auf die Daten. Mit dieser Maßnahme können die Daten auch gegenüber Systemverwaltern vertraulich gehalten werden.

R06, R20, R22, (R28), (R29)


M69

TR


Verschlüsselung der Daten auf Übertragungsstrecken

Die


ist sogar die einzig sinnvolle Maßnahme zum Schutz der Daten bei der Datenübertragung, denn es ist meist nicht möglich, die Leitungen physikalisch gegen Abhören zu sichern.
Die Verschlüsselung ist also eine universelle Maßnahme, um Daten vor der unberechtigten Kenntnisnahme durch Unbefugte zu schützen. Hinsichtlich der Stärke des Verschlüsselungsalgorithmus ist der DES (Data Encryption Standard) dann hinreichend, wenn nicht davon ausgegangen werden muß, daß Angreifer großen Aufwand zur Entschlüsselung treiben werden. Ansonsten empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Nutzung von Triple-DES. Das im Internet weitverbreitete PGP-Verfahren (pretty good privacy) ist kostenlos erhältlich und gilt als "ausreichend" sicher.

R30


M70

ÜB


Protokollierung der Datenübertragung

Die

dient der Kontrolle, welche Daten von wem wann wohin übertragen worden sind.

R29, R31


M71

DT


Verzicht auf Datenträgerlaufwerke (--> M47)

Der

R12, R16, R17,(R18), R28


M72

DT


Verschluß der Datenträgerlaufwerke (--> M48)

oder der

ist eine sinnvolle Maßnahme, um das unberechtigte Kopieren von Daten auf Datenträger direkt am PC zu verhindern.

R12, R16, R17,(R18), R28


M73

DT


sichere Unterbringung (--> M49)

Die

R01, R02, R03, R05, R06, R16, R20, R28


M74

DT, OR


Verwaltung der benutzten Datenträger, (--> M50),

und die

dient ebenfalls der Vertraulichkeit der Daten.

R06, R16, R20, R28


M75

DT, SP


physikalische Löschung von Datenträgern

Die

ist dann zu verlangen, wenn sie als "leere" weitergegeben oder entsorgt werden sollen.

R21, R28




M76



SP, BE, ZF




Bildschirmsperre

Bei kurzzeitigem Verlassen des Raumes sollte eine paßwortgeschützte
(Bildschirmschoner) aktiviert werden. Diese verhindert bei kurzzeitiger Abwesenheit die unbefugte Nutzung des PCs. Sinnvoll ist auch eine automatische Aktivierung der Sperre nach einer kurzen Zeitspanne.

R11, R22, R23, R24, R25




M77



SP




Abschirmung oder Störung elektromagnetischer Abstrahlung

Wenn die kompromittierende Abstrahlung in Betracht zu ziehen ist, ist die



vorzusehen.

R25

3.2.6 Welche Schutzmaßnahmen sind insbesondere bei tragbaren Computern zu beachten?

Viele Einsatzgebiete für PCs verlangen heutzutage Mobilität und Flexibilität. Um diesen Anforderungen nachzukommen, werden immer häufiger tragbare Computer eingesetzt.

Doch gerade der tragbare PC (Laptop, Notebook, ...) ist besonderen Gefährdungen ausgesetzt.

Die oben für PCs beschriebenen Maßnahmen gelten natürlich auch für tragbare Systeme. Daher soll hier nur auf die Besonderheiten eingegangen werden.

Nr. "Zehn Gebote" Maßnahme Erläuterung Risiko





M78





ZG






Diebstahlschutz

Ein tragbarer Computer kann leichter verloren gehen oder gestohlen werden. Es sind also die üblichen Vorkehrungen für einen wirksamen
zu treffen. Dies gilt für die Aufbewahrung, wenn er nicht im Gebrauch ist, bei der Verwendung im Außendienst, für die Aufbewahrung im Kraftfahrzeug, bei Dienstreisen usw.

R06, R20







M79






SP, ZF







Verschlüsselung der Daten auf der Festplatte (--> M68)

Um die Vertraulichkeit der Daten auch dann zu gewährleisten, wenn der tragbare PC unbeaufsichtigt ist oder in die Hände Unbefugter geraten sein sollte, ist bei solchen Systemen die

unbedingt erforderlich.

R06, R20, R22, (R28), (R29)











M80










OR











Verplombung des Gehäuses

Tragbare PCs sind in der Regel modular aufgebaut, so daß die Hardwarekonfiguration sehr flexibel anderen Anforderungen angepaßt werden kann. Dies bedeutet aber auch, daß die Hardware leicht manipuliert werden kann, z.B. Bauteile entnommen werden können. Es ist daher eine

zu empfehlen.

R05, R18




M81



OR




kontrollierte Ausgabe und Verwaltung

Beim professionellen Einsatz von tragbaren Computern ist von der anwendenden Institution eine

zu gewährleisten.

R05, R06, R20


M82

OR


Geräteverantwortung

Die
sollte bei einem mit besonderen Rechten ausgestatteten Systemverwalter liegen.

R05, R09, R10, (R16)


M83

SP, BE, ZF


sicherheitsrelevante Einstellungen

Er kann im BIOS

(z.B. Sperrung des Diskettenlaufwerkes oder der Schnittstellen) vornehmen.

R11, R16, R18, R23, R28

Im übrigen sind bei tragbaren Systemen die Gefährdungen und Risiken bei Diskettenlaufwerken und Schnittstellen durch Virenverseuchung, usw. ebenso relevant wie bei "normalen" PCs. Diese Bedrohungen und die dagegen zu treffenden Maßnahmen wurden schon in anderen Abschnitten behandelt. Daher soll hier nicht mehr besonders darauf eingegangen werden.

3.2.7 Welche Schutzmaßnahmen sind insbesondere bei Clients zu beachten?

Mit dem Begriff Client werden Arbeitsplatzcomputer bezeichnet, mit denen auf Ressourcen von Servern im Rahmen von Client-Server-Netzen zugegriffen werden kann. Generell verfügen Clients über alle Funktionalitäten und Gefährdungspotentiale wie Einzelplatz-PCs. Es sollten daher auch die gleichen Schutzmaßnahmen getroffen werden.

Durch eine gemeinsame Ressourcennutzung ergeben sich neue Schutzmöglichkeiten:

Nr. "Zehn Gebote" Maßnahme Erläuterung Risiko



M84



Sp, BE, ZF, EG




Benutzerverwaltung mit
Identifizierung und Authentifizierung der Benutzer

Im Gegensatz zu den PC-Betriebssystemen bieten Netzwerkbetriebssysteme eine



an. Damit kann man u.U. auf den Einsatz spezieller Sicherheitssysteme verzichten, da eine individuelle Rechtevergabe und dazu Kontrolle realisiert werden kann.
Da die Eingabe großer Datenmengen und Programme über das Netz erfolgen kann, sind Laufwerke für bewegliche Datenträger am Client in der Regel überflüssig.

R11, (R18), R22, R23, (R28), (R29)


M85

DT


Verzicht auf Laufwerke für bewegliche Datenträger

Der


(Diskless-PC) sollte wegen der vielfältigen Risiken solcher Geräte daher obligatorisch sein. Dies gilt insbesondere für Disketten- und Kassettenlaufwerke.

R12, R16, R17, (R18), R28




M86



DT




Einsatz spezieller Clients mit verschließbaren Laufwerken

Wenn der Datenaustausch mit externen Systemen nicht über den Server erfolgen kann, ist der


(eine Art "Datenschleuse") vorzusehen, die nur durch speziell privilegierte Benutzer bedient werden können, wobei

R12, R16, R17, (R18), R28


M87

DT


Protokollierung des Umgangs mit beweglichen Datenträgern

eine



erfolgen sollte.

R12, R16, R17, (R18), R28



M88


SP



Verzicht auf die Festplatte

Der Sicherheit dienlich wäre auch der

(Medialess-PC), jedoch wird dies von derzeit verbreiteten PC-Betriebssystemen nicht unterstützt.

R16, R18


M89

SP


zentrale Softwareversorgung

Es kann eine

erfolgen, um den Risiken unerwünschter Softwaremodifikationen entgegenzutreten.

R11, R18, R23

Zur zentralen Softwareversorgung sind folgende Hinweise zu geben:

Grundsätzlich gibt es drei Arten der Softwareverteilung:

  1. Der Client bezieht seine gesamten Daten, incl. der Anwendungssoftware, aus dem Netz (vorwiegend Medialess APC).
  2. Der Client hält Teile der Anwendungssoftware und/oder des Betriebssystems lokal vor, alle weiteren Daten befinden sich im Netz.
  3. Der Client besitzt eine vollständige lokale Installation der benötigten Software, die verarbeiteten Daten werden im Netz gespeichert.

Prinzipbedingt bietet Variante a) den bestmöglichen Schutz, da Änderungen der Nutzer am Client mit jedem Neustart unwirksam werden. Die zentrale Systemadministration hat so die bestmögliche Kontrolle.

Die Varianten b) und c) können aus der Sicht des Datenschutzes zusammengefaßt werden. Um eine optimale Sicherheit zu erhalten, sollten folgende Maßnahmen getroffen werden:

  • Der Startvorgang darf nicht abbrechbar oder veränderbar sein.
  • Der Zugriff auf das Betriebssystem hat sich auf den zwingend erforderlichen Umfang zu beschränken, besser ist es, auf den Zugriff auf die Betriebsystemebene ganz zu verzichten.
  • Es erfolgt eine starre Nutzerführung durch Masken und spezielle Bedienoberflächen.
  • Es sind ausschließlich autorisierte Programme zu verwenden.
  • Bedienungsfehler sind durch Plausibilitätsprüfungen zu unterbinden bzw. einzuschränken.
  • Eine lokale Datenhaltung sollte unterbleiben.

Systembedingt senden APCs grundsätzlich keine Informationen über ihren Zustand an eine "zentrale Stelle". Durch spezielle Softwareverteilungswerkzeuge können APCs kontrolliert und zentral administriert werden.

3.2.8 Welche Schutzmaßnahmen sind insbesondere bei Servern zu beachten?

PCs sind inzwischen so leistungsfähig, daß sie verstärkt auch als Server zum Einsatz gelangen. Die zu treffenden Schutzmaßnahmen unterscheiden sich in keiner Weise von anderen Serversystemen.

Es werden zwei Arten von Servern unterschieden:

  • Non dedicated (ungewidmeter) Server

    Ein solcher Server kann zusätzlich als APC genutzt werden. Viele Netzwerkbetriebssysteme unterstützen diese Betriebsweise. Vorteil dieses Servertyps sind die geringeren Realisierungskosten, die sich aus der Doppelfunktionalität (Client und Server) begründen.

    Der Einsatz eines Non-dedicated-Servers birgt erhebliche Risiken, die dem Einsatz bei der Verarbeitung schutzbedürftiger Daten entgegenstehen:

    • Einige Betriebssysteme verfügen über keinerlei Schutzeinrichtungen bei lokaler Verwendung. Darunter fallen fast alle Betriebssysteme, die sog. Peer-to-Peer-Netzwerke unterstützen [Peer-to-Peer-Netzwerke bestehen aus APC, die untereinander auf ihre Resourcen zugreifen].
    • Das Ausfallrisiko erhöht sich gravierend. Die Benutzung von Anwendungen während des Serverbetriebs kann durch Programm- und/oder Bedienfehler zu Störungen im Arbeitsablauf anderer Teilnehmer bis hin zum Datenverlust führen.
    • Die notwendige Zugangskontrolle ist nicht in ausreichender Form realisierbar (s. Zugangskontrolle beim dedicated Server), da nur Schutzmaßstäbe des Client-APC angelegt werden können.
  • Dedicated (gewidmeter) Server

    Dieser Servertyp stellt ausschließlich Druck- und Dateidienste (Print- und Fileservices) sowie die Benutzerverwaltung bereit. Je nach Anwendungsgebiet können sich die Dienste auch auf eine Teilmenge der o.g. Funktionen beschränken.

    Meist sind eine Vielzahl von Nutzern von den bereitgestellten Serverdiensten abhängig. Es sollten somit höhere Anforderungen an die Ausfallsicherheit gestellt werden.

Nr. "Zehn Gebote" Maßnahme Erläuterung Risiko



M90



ZG, OR




Unterbringung in einem gegen Brand und Einbruch gesicherten Serverraum

Ein Server muß nicht in einem allgemein zugänglichen Raum stehen. Seine


ist daher geboten.

R01, R02, R05, R06, R20, R22


M91

ZG


Zugangsregelungen

Es sind
zu treffen, die den Zugang auf die Mitarbeiter der Systemverwaltung beschränken.

R05, R06, R07, R20, R22




M92



ZG




Beschränkung des Zugangs

Die Arbeit der Systemverwaltung sollte so organisiert werden, daß eine
auf das unbedingt erforderliche Maß möglich ist.

R05, R06, R07, R20, R22


M93

ZG


Maßnahmen der Zugangskontrolle
(--> M31-M34)

Bzgl. der

wird auf Abschnitt 3.2.2 verwiesen.

R05, R06, R07, R20, R22


M94

OR


Sicherung der unterbrechungsfreien Stromversorgung

Maßnahmen zur

R03, R13, R14, R19


M95

OR


Schutz gegen Spannungsschwankungen

und zum

sind bei Servern von besonderer Bedeutung.

R03, R13, R14, R19


M96

OR


regelmäßige Datensicherung

Eine
ist zwingend erforderlich,

R01, R02, R03, R05, R06, R08, R12, R14, R15, R17, R18, R19, R20


M97

BE, ZF


Paßwortschutz für das Booten des Servers.

ebenso der

(R16), R18, R22



M98


SP, BE, ZF



paßwortgeschützte Bildschirmsperre

Auch beim Server sollte es eine

geben.

R11, R22, R23, R24, R25


M99

DT, SP


Vernichtung defekter Datenträger, vor allem Festplatten,

Die


hat zu erfolgen, wenn die schutzbedürftigen Daten unverschlüsselt sind und eine Reparatur vor Ort nicht möglich ist. Dies gilt auch, wenn für das defekte Gerät noch Garantieansprüche bestehen sollten.

R21, R28


M100

SP, ZF, OR


Überwachung des externen Wartungspersonals

Die

kann vor unliebsamen Überraschungen schützen.

R05, R06, R09, R11, R16, R18, R20, R22, R23, R28




M101



SP, ZF, OR




Kontrolle der Fernwartung

Sofern man nicht aus Sicherheitsgründen ganz auf sie verzichten mag, ist die
unter Beachtung der Orientierungshilfe der Datenschutzbeauftragten des Bundes und der Länder für die Fernwartung (siehe Literaturhinweis) zwingend erforderlich.

R09, R11, R18, R22, R23, R28, R29


Wie ist der technisch-organisatorische Datenschutz zu gewährleisten?
  1. Wie ist der technisch-organisatorische Datenschutz zu gewährleisten?

 Letzte Änderung:
 am 06.07.98
mail to webmaster