2. Technische Rahmenbedingungen2.1 Entwicklung der InformationstechnikDie Entwicklung der Informationstechnik hat sich auch im Berichtsjahr an den schon in den Vorjahren beobachteten Trends orientiert: - Das Preis-/Leistungsverhältnis hat sich für Hardware und für Standardsoftware weiter verbessert; - der Trend zur Miniaturisierung hält weiter an; - die "Datenautobahnen" werden weiter ausgebaut: Neue Online-Dienste werden eingerichtet, das Internet wirkt für immer mehr Teilnehmer anziehend [14]; - Bild- und Sprachverarbeitung werden weiter digitalisiert und somit für "Multimedia" erschlossen [15]; - Proprietäre (herstellerabhängige) Systeme werden im Rahmen von "Right"- oder "Downsizing" weiter von offenen Systemen zurückgedrängt. Allerdings ist die Tendenz erkennbar, sie zu den offenen Systemen hin zu öffnen, um so die Leistungsvorteile der meisten proprietären Systeme auch dort zugänglich zu machen, wo man sich ansonsten herstellerunabhängig ausstatten möchte; - Rechnerleistung wird durch Client-Server-Systeme über lokale Netze an den Arbeitsplatz gebracht [16]; - durch Outsourcing wird komplexe Datenverarbeitung in spezialisierte Unternehmen ausgelagert [17]; - neue Chipkartenanwendungen werden konzipiert, vornehmlich mit Prozessorchipkarten, die multifunktional eingesetzt werden können [18]. Erkennbar sind bereits erste Tendenzen, die gegenüber den Entwicklungen der Vorjahre gegenläufig wirken: Die "Demokratisierung" des Einsatzes von Informationstechnik, hervorgerufen durch die Ausbreitung preiswerter Personalcomputer, die für jeden erschwinglich und für jeden einfach benutzbar sind und so zur Informatisierung der Privathaushalte und kleinen Unternehmen führten, wird partiell durch komplexe Vernetzungen rückgängig gemacht. Obwohl sie große Verbreitung für professionelle Anwendungen finden, ist die Beherrschung von Client-Server-Netzen ohne detaillierten Sachverstand kaum noch möglich. Der Trend, auch in der Welt der kommerziellen oder administrativen Datenverarbeitung auf den Einsatz von DV-Profis verzichten zu können, wird dadurch gebrochen. Ohne die Vorhaltung eigener Fachleute oder Einschaltung von Beratungsfirmen sind moderne Bürosysteme kaum noch zu beherrschen, ein Zustand, der an die Zeiten vor dem PC erinnert.
|
||
Kein Trend, aber ein Ereignis, das weltweit große Medienbeachtung fand,
ist die Markteinführung des neuen Microsoft-Betriebssystems WINDOWS
95 für Personalcomputer als Nachfolger des Betriebssystems
MS-DOS. Für kaum ein anderes Produkt wurde ein vergleichbarer
Werbeaufwand getrieben wie für diese Software.
WINDOWS 95 mag in vieler Beziehung wesentliche Vorteile gegenüber MS-DOS bieten, die in der besseren Auslastung der modernen Prozessoren, in einem wirkungsvolleren Multi-tasking (gleichzeitige Erfüllung mehrerer Aufgaben), in neuen und verbesserten Möglichkeiten des Mensch-Maschine-Dialogs, in der Befreiung von engen Namenskonventionen usw. liegen. Verbesserungen für Datenschutz und Datensicherheit sind dagegen nach ersten Erfahrungen nicht zu erkennen. Verfahren zur Benutzeridentifizierung und -authentifizierung sind ebensowenig Bestandteil von WINDOWS 95 wie die Sperrbarkeit des Bootens von der Diskette. Der Einsatz von speziellen Werkzeugen für die Speicher-, Benutzer- und Zugriffskontrolle bleibt daher auch beim PC-Einsatz unter WINDOWS 95 erforderlich, wenn personenbezogene Daten verarbeitet werden sollen. Die Software für die Verbindung mit weltweiten Datennetzen ist in WINDOWS 95 bereits integriert, nämlich für die Nutzung des neuen Microsoft Networks MSN. Es bietet (zumindest bald) den vollen Zugriff auf das Internet und auf das World Wide Web sowie eine E-Mail-Adresse. Aus datenschutzrechtlicher Sicht ist die Nutzung des MSN durch Systeme, die vertrauliche Daten verarbeiten, kritisch zu beobachten. WINDOWS 95 verfügt über ein Agenten-Programm (Registration Wizard), mit dem die PC-Festplatte durchsucht wird und Daten zur Person des PC-Besitzers (Name, Adresse), die Seriennummer der Systemsoftware, Angaben zum Hardwareprofil und zu Softwarepaketen an Microsoft übertragen werden. Begründet wird dies mit der Rationalisierung der Kundenerfassung und dem gegenseitigen Interesse der PC-Benutzer und Microsoft an einer optimierten Hard- und Softwareaustattung, also der Beratung des Benutzers und dem Kundendienst einerseits, dem Microsoft-Marketing andererseits. Die Übermittlung der Daten erfolgt natürlich nur, wenn der Benutzer sich für die Nutzung des MSN bei Microsoft erstmalig angemeldet hat (dabei sind weitere Daten für das Gebühreninkasso - z.B. Kreditkartennummer- anzugeben). Alle weitere Datenübermittlungen erfolgen durch den "Registration Wizard" immer dann, wenn man sich für eine Sitzung am MSN anmeldet. Die Übermittlung durch den "Registration Wizard" kann abgeschaltet werden, ist jedoch standardmäßig aktiviert. Die Ausforschung der Festplatten der Kundensysteme hat dazu geführt, daß Regierungen, die an der Erhaltung ihrer Staatsgeheimnisse interessiert sind, Bedenken gegen den Einsatz von WINDOWS 95 geäußert haben. In der Tat beruhen die Angaben über die Wirkungsweise auf den Informationen des Herstellers. Ob noch weitere Daten - zum Beispiel Anwendungsdaten aus dem PC oder Daten aus Systemen, die mit dem PC vernetzt sind, übertragen werden können, ist unseres Wissens noch nicht hinreichend untersucht worden. 2.2 Informations- und kommunikationstechnische Infrastruktur der Berliner VerwaltungDer Aufbau umfassender Infrastrukturen für die Daten- und Sprachkommunikation stellt einen wesentlichen Aspekt der Modernisierung der Berliner Verwaltung dar. Aus diesem Grund sind in den letzten Jahren große Anstrengungen unternommen worden, ein neues Verwaltungsdatennetz in Form eines Metropolitan Area Network (MAN) aufzubauen und ein ISDN-Vernetzungskonzept für das Behördentelefonnetz zu entwickeln. Das MAN ist die Voraussetzung für den Aufbau der großen Anwendungsverfahren im Personalwesen (IPV - Integrierte Personalverwaltung), Sozialwesen (BASIS - Berliner Automatisiertes Sozialhilfe Interaktionssystem), Haushaltswesen (AHW - Automatisiertes Haushaltswesen und der Stadtplanung (FIS - Fachübergreifendes Informationssystem). Es ermöglicht den dezentralen Zugriff auf zentrale Ressourcen über das Sicherheitsrechenzentrum des Landesamtes für Informationstechnik (SRZ) sowie die Unterstützung bei der Systemverwaltung lokaler Netze durch das zentrale und die lokalen Service- und Administrationszentren (SAZ/LAZ). Vorgesehen ist der Zugriff auf das Internet und internationale Online-Dienste sowie die Bereitstellung von Informationsangeboten im Internet. Wir haben uns auch in diesem Jahr intensiv an den Beratungen zu den Infrastrukturprojekten beteiligt, insbesondere bei der Begleitung der Risikoanalysen und der Erstellung der Sicherheitskonzepte. Mit diesen ehrgeizigen Projekten werden die Weichen für die Zukunft des Einsatzss der Informationstechnik in der Berliner Verwaltung gestellt. Technische Perfektion einerseits und leere Kassen andererseits dürfen gleichwohl den Datenschutz und die Sicherheit der Informationstechnik nicht zu kurz kommen lassen. Zentrale Systembetreuung für die Verwaltung - das Projekt SAZ/LAZEine wesentliche Komponente des künftigen Berliner Verwaltungsnetzes sind das (im LIT angesiedelte) Service- und Administrationszentrum (SAZ) sowie die lokalen Administrationen (LAZ). Diese Struktur soll eine zentrale Systembetreuung für alle Berliner Verwaltungsstellen ermöglichen. Die dezentral installierten Rechnersysteme und -netze der einzelnen Standorte sollen durch zentrale Administrations-, Support- und Managementfunktionen unterstützt werden. Bereits im letzten Jahresbericht wiesen wir auf die zentrale Bedeutung dieses Projektes und die damit zusammenhängenden Risiken hin. Unsere Empfehlung, eine Risikoanalyse auf Basis des IT-Sicherheitshandbuchs des BSI und darauf aufbauend ein Datenschutz- und Datensicherheitskonzept zu erarbeiten, wurde realisiert. Die erste Version betrachtete jedoch nur einen engen, das SAZ/LAZ-Projekt direkt betreffenden Rahmen, d.h., es wurde nur auf die Sicherheit der unmittelbar zugehörigen Infrastruktur (Hardware und Software) eingegangen. Nicht betrachtet wurden bisher die Gefahren und Risiken, die durch SAZ und LAZ für die administrierten Systeme, z.B. die lokalen Netze der Auftraggeber, entstehen. SAZ und LAZ können jedoch nicht separat betrachtet werden. Die zentrale Aufgabe des System- und Netzwerkmanagements steht in direktem Zusammenhang mit den administrierten Verfahren und den zugrundeliegenden Netzen einerseits, den Schnittstellen des SAZ nach "außen" (z.B. nicht durch das SAZ administrierte Rechner, Netzwerke oder Verfahren) andererseits. Diese Aspekte wurden in die zweite Version der Risikoanalyse bereits teilweise eingearbeitet. Dazu zählt die Behebung von Fehlern in entfernten Systemen. Ein vollständiges zentrales Fehlermanagement ist nur unter Verwendung eines entfernten Einloggens, teilweise sogar unter einer Systemverwalterkennung ("root") möglich. Dies birgt jedoch erhebliche Gefahren für alle Rechner in den lokalen Netzen der Auftraggeber. Hier müssen technisch-organisatorische Maßnahmen definiert werden, die geeignet sind, Mißbräuche durch interne oder bei einer Öffnung zum Internet [19] auch externe Angreifer, zu verhindern. Auch die unterschiedlichen Arbeitsabläufe der verschiedenen Managementbereiche müssen auf Gefahren, die von ihnen ausgehen könnten, hin untersucht werden. Der Risikoanalyse liegen die Sicherheitsmechanismen des Distributed Computing Environment (DCE) der Open Software Foundation zugrunde. Dabei handelt es sich um eine herstellerunabhängige Sammlung von Systemkomponenten, die eine Kommunikation offener Systeme in einer sicheren Umgebung ermöglicht. DCE wurde ausgewählt, um den hohen Sicherheitsanforderungen, die an ein Management-Projekt wie SAZ/LAZ zu stellen sind, gerecht zu werden. Die für die Sicherheit wesentlichen Dienste "Security Service" und "Distributed File System" (DFS) ermöglichen Zugriffsschutz, Authentisierung und Verschlüsselung der wesentlichen Komponenten. Das Sicherheitsrechenzentrum des Landesamtes für InformationstechnikBereits im letzten Jahresbericht [20] haben wir den für 1995 geplanten Bau eines Sicherheitsrechenzentrums (SRZ) des Landesamtes für Informationstechnik erwähnt und unsere Erwartungen zu den damit verbundenen umfangreichen technischen und organisatorischen Maßnahmen zur Gewährleistung eines - insbesondere auch unter Berücksichtigung datenschutzrechtlicher Aspekte - sicheren Betriebs dieses Rechenzentrums dargelegt. Immerhin handelt es sich dabei um einen Rechenzentrumskomplex, der "dunkel", d.h. im Normalfall ohne unmittelbare Überwachung und Steuerung vor Ort, betrieben werden soll. Dementsprechend sind hohe Anforderungen an die zu installierenden Sicherheits- und Überwachungseinrichtungen zu stellen. Dabei handelt es sich um eine herstellerunabhängige Sammlung von Systemkomponenten, die eine Kommunikation offener Systeme in einer sicheren Umgebung ermöglicht. Inzwischen wurde das SRZ seiner Bestimmung übergeben. Ausgehend von einer umfassenden Risikoanalyse denkbarer Bedrohungsszenarien wurde ein Sicherheitskonzept entwickelt und umgesetzt, das die Risiken für den ordnungsgemäßen Rechenzentrumsbetrieb bis auf vertretbare minimale Restrisiken reduziert. Umfangreiche bauliche Maßnahmen zur Abwehr von äußeren Bedrohungen, wie etwa Brandstiftung, Terroranschläge oder Wassereinbrüche, waren getroffen worden. Ferner wurde Vorsorge getroffen, um möglichen Gefahren im Innern des Gebäudes begegnen zu können. So wurden die wichtigsten technischen Anlagen und Aggregate redundant ausgelegt, um im Falle einer Havarie Ausweichmöglichkeiten sofort nutzen zu können. Zumindest kann ein Notbetrieb des Rechenzentrums bis zum Einleiten und Wirksamwerden gezielter Sicherungs- bzw. Bekämpfungsmaßnahmen gewährleistet werden. Die zu diesem Zweck installierten Überwachungs- und Schutzeinrichtungen sind in wesentlichen Teilen so gestaltet worden, daß erste notwendige Maßnahmen automatisiert anlaufen, wenn durch voneinander unabhängige Systeme ein Havariefall diagnostiziert wird. Alle Meldungen der verschiedenen Sicherheitssysteme werden nach einer softwaregestützten Filterung und Aufbereitung zum Sicherheitsleitstand im LIT-Dienstgebäude weitergeleitet, dort dem Wachpersonal auf entsprechend ausgestatteten Monitoren angezeigt und gegebenenfalls in akustische bzw. visuelle Alarmsignale umgesetzt. Außerdem werden die betroffenen Bereiche mittels einer umfangreichen Videoübertragungstechnik auf den Bildschirmen der Leitwarte dargestellt, so daß sich die Mitarbeiter über den augenblicklichen Zustand visuell informieren können und bei den einzuleitenden Maßnahmen unterstützt werden. In vielen Fällen erfolgt diese Unterstützung bereits durch vorprogrammierte Hinweise auf den dafür vorgesehenen Terminals. In einer Dienstanweisung wird die notwendige Vorgehensweise beschrieben. Sowohl die softwaregestützten als auch die manuellen Anweisungen unterliegen einer ständigen Aktualisierung und Anpassung an bisher noch nicht bzw. unvollständig erfaßte Gegebenheiten. Einen wesentlichen Anteil bei der Überwachung des "unbemannten" Rechenzentrums nimmt die Zugangskontrolle ein. Sie basiert auf diversen paarweise angeordneten Ein- und Ausgangslesern für Magnetkarten und dient der Verhinderung des Zutritts unberechtigter Personen sowie der Feststellung des Aufenthaltsortes Zugangsberechtigter. Die Kartenleser sind sowohl in den eigentlichen Eingangsbereichen, die als zeitgesteuerte Schleusen angelegt sind, als auch an anderen neuralgischen Punkten, wie z.B. den Übergängen zwischen den verschiedenen inneren Sicherheitszonen, installiert. Die Differenzierung des Zugangs zu bestimmten Zonen innerhalb des Rechenzentrums erfolgt softwaregestützt durch die auf den Magnetkarten gespeicherten Daten. Über Videokameras und die damit verbundene Bildübertragung zur Leitwarte wird auch eine visuelle Kontrolle durch das dortige Wachpersonal ermöglicht, um die notwendige manuelle Freischaltung der Eingangstüren abzusichern. Dies soll zusätzlich dadurch unterstützt werden, daß zeitgleich mit der Benutzung eines Eingangslesers ein elektronisch gespeichertes Vergleichsbild des Karteninhabers auf einem Monitor in der Sicherheitsleitwarte erscheint, da man nicht davon ausgehen kann, daß alle zugangsberechtigten Personen dem Leitwartenpersonal persönlich bekannt sind. Zudem soll damit natürlich auch der Zugang solcher Personen verhindert werden, die auf eine wie auch immer geartete Weise in den Besitz einer gültigen Magnetkarte gelangt sind. Gegen die damit für die LIT-Mitarbeiter verbundenen Bildspeicherung gab es Widerstände beim örtlich zuständigen Personalrat. Wegen des hohen Schutzbedarfs der im SRZ zu verarbeitenden Daten und der außerordentlichen Bedeutung der Funktionsfähigkeit des SRZ für die Berliner Verwaltung gehen wir jedoch von der Angemessenheit dieser Verfahren bei der Authentifizierung aus. Festzuhalten ist, daß mit dem Sicherheitsrechenzentrum ein wesentlicher Teil der von uns empfohlenen technischen und organisatorischen Maßnahmen zur Gewährleistung eines hohen Datenschutz- und Datensicherheitsniveaus Realität geworden ist. ISDN-Vernetzungskonzept für die Berliner VerwaltungJedenfalls derzeit ist das Telefon für die tägliche Verwaltungsarbeit erheblich wichtiger als der Anschluß an Datenverarbeitungseinrichtungen. Der Neugestaltung des Behördentelefonnetzes im Rahmen des ISDN-Vernetzungskonzepts kommt daher erhebliche Bedeutung zu. Den Datenschutz- und Datensicherheitsproblemen wurde im vergangenen Jahr wesentlich mehr Bedeutung zugemessen als vorher. Die im letzten Jahresbericht geäußerte Kritik [21] ist also konstruktiv aufgenommen worden. Eine externe Firma wurde beauftragt, eine von uns mehrfach geforderte umfassende Risikoanalyse zu erstellen. Alle wesentlichen Risiken wurden erkannt und bestimmt. Die Maßnahmen zur Verringerung und Minimierung der Risiken sind sinnvoll und der Tragweite des Konzeptes angemessen. Die Sicherheit des ISDN-Netzes der Berliner Verwaltung hängt jetzt von der vollständigen Umsetzung dieses Sicherheitskonzeptes ab. Eine Teilumsetzung wäre nicht ausreichend, da viele Maßnahmen gegenseitige Abhängigkeiten aufweisen und somit aus Sicherheitssicht ein nicht tragfähiges Grundgerüst entstehen würde. Die nach der Definition von Sicherheitsmaßnahmen durchgeführte Restrisikoanalyse zeigt auf, daß auch bei Umsetzung aller empfohlenen Maßnahmen nicht alle Risiken beseitigt sind. Sie beruhen auf der Gefahr menschlichen Versagens bzw. mißbräuchlichen Handelns Berechtigter und können nur durch organisatorische Maßnahmen verringert werden. Dies birgt immer ein erhebliches Risiko; der Auswahl der mit der Wartung, Konfiguration und Administration beauftragten Personen kommt daher höchste Bedeutung zu. Weiterhin ungelöst bleibt die Problematik der Unterdrückung der Zielnummern-Anzeige bei Telefonaten im Behördennetz. So existieren Aussagen der Telekom, daß diese derzeit nicht in der Lage sei, eine zielnummernbezogene Unterdrückung der Rufnummern-Anzeige zu realisieren, wenn hinter der Vermittlungsstelle der Telekom eine Nebenstellenanlage installiert ist. Demgegenüber enthält § 9 Abs. 1 Satz 3 der Telekom-Datenschutzverordnung (TDSV) eine Verpflichtung der Telekom, die Übermittlung der Rufnummer des anrufenden Anschlusses an den angerufenen Anschluß einer telefonischen Beratungsstelle in der Vermittlungsstelle dieses Anschlusses auszuschließen. Die im Datenschutzkonzept vorgeschlagene Maßnahme, die Übermittlung der Rufnummer des Anrufenden in der Software der Transitzentrale zu unterdrücken, kann somit nur als vorübergehende Hilfskonstruktion betrachtet werden. Diese Hilfskonstruktion kann für einen Übergangszeitraum akzeptiert werden, bis die flächendeckende Einführung des Euro-ISDN es dem Betroffenen ermöglicht, über die Übermittlung seiner Rufnummer selbst zu entscheiden. Sichergestellt werden muß gleichwohl, daß die Anschlüsse bei denen die Rufnummernanzeige nicht erfolgt, in öffentlichen Teilnehmerverzeichnissen als solche gekennzeichnet sind. Infrastrukturprojekt BROSiAIm letzten Jahresbericht wurde über das auf dem Projekt GIBES (Grundlagen der Ausstattung mit IT-Infrastruktur für die Bezirke und Senatsverwaltungen) aufbauende Projekt BROSiA (Berliner Rahmenkonzept für Organisation, Sicherheit und Anwendungsentwicklung beim IT-Einsatz) berichtet. Mit BROSiA sollte ein Gesamtwerk geschaffen werden, in dem grundlegende IT-Vorschriften zur Organisation der Datenverarbeitung in der Berliner Verwaltung, zur Berücksichtigung ihrer Sicherheit und zur Durchführung von IuK-Projekten definiert werden. Das Projekt sollte nach dem Vorbild anderer konzeptioneller Projekte durch Hinzuziehung von externem Sachverstand realisiert werden. Ergebnisse liegen nicht vor, da man sich vom Auftragnehmer trennte und das Projekt ruhen ließ. Diese Denkpause fällt mit der Realiserungsphase mehrerer Großprojekte zusammen. Dies legt einen Vergleich zum Hausbau nahe: Während die Geschosse der Vollendung entgegen gehen, wurden die Planungen am "gemeinsamen Dach" vorerst eingestellt. Ein aus Datenschutzsicht wichtiges Ziel von BROSiA war die Definition eines IT-Sicherheitsrahmenkonzeptes für die Berliner Verwaltung. Wegen des Wegfalls dieses Konzeptes existiert zur Zeit kein koordinierender Rahmen für die Sicherheit bei den unterschiedlichen Projekten. Sie realisieren vielmehr unterschiedliche Sicherheitsmechanismen. Die Einführung einer modernen Kommunikationsinfrastruktur macht die Definition einer berlinweiten Sicherheitspolitik notwendig. Eine Koordination der verschiedenen Projekte und Bereiche der Berliner Verwaltung könnte z.B. durch eine generelle Nutzung des DCE realisiert werden.
|
Zuletzt geändert:
am 08.02.97