Informationsmaterial zum Datenschutz
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

3.7 Informationstechnische Sicherheit und Datenschutz

Informationstechnische Sicherheit zielt darauf ab, informationstechnische Systeme so zu entwerfen, herzustellen und einzusetzen, daß gegen alle Formen unerwünschter Beeinflussung der Datenverarbeitungsprozesse ein optimaler Schutz besteht. Auch alle technischen und organisatorischen Maßnahmen des Datenschutzes fallen darunter, denn diese sollen einen optimalen Schutz vor unbefugter Kenntnisnahme, Veränderung, Verarbeitung und Löschung personenbezogener Daten bei der Anwendung informationstechnischer Prozesse sicherstellen. Die Verarbeitung personenbezogener Daten ist in der öffentlichen Verwaltung die Regel. Wenn es also darum geht, informationstechnische Sicherheit in der öffentlichen Verwaltung zu erreichen, so dient dies der Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten, von Programmen, die personenbezogene Daten verarbeiten und von Systemen, auf denen diese Programme laufen, und damit dem Datenschutz.

Zur Erreichung informationstechnischer Sicherheit sind weltweit Instrumentarien entwickelt worden, die in verschiedener Weise wirken. In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aufgabe, solche Instrumentarien zu entwickeln oder zu erschließen und Studien zur IT-Sicherheit in verschiedenen sensitiven Anwendungsbereichen zu erstellen. Die Ergebnisse der Arbeit des BSI werden regelmäßig veröffentlicht und für die öffentliche Verwaltung nutzbar gemacht.

Zu den wichtigsten Instrumenten gehören gestufte IT-Sicherheitskriterien, an denen die Sicherheit informationstechnischer Produkte evaluiert werden kann, so daß eine Zertifizierung von Produkten anhand der erreichten Sicherheitsstufen möglich ist. Das bekannteste Kriterienwerk ist das Orange Book des amerikanischen Verteidigungsministeriums [38]. Nach einer kurzen Phase der Anwendung eigener deutscher IT-Sicherheitskriterien [39] erfolgt nunmehr die Evaluierung in Deutschland nach den in der Europäischen Union harmonisierten Information Technology Security Evaluation Criteria (ITSEC) (Version 1.2, 1991).

Das auf dieser Basis erarbeitete IT-Sicherheitshandbuch des BSI [40] dient der Erarbeitung von IT-Sicherheitskonzepten auf der Grundlage differenzierter Bedrohungs- und Risikoanalysen [41]. Nicht nur unsere kritischen Äußerungen zum häufig unangemessenen methodischen Aufwand bei der Verwendung des IT-Sicherheitshandbuchs haben das BSI bewogen, mit dem IT-Grundschutzhandbuch [42] eine einfachere Methode zu entwickeln. Es zeigt sich, daß gerade im Zusammenwirken beider Handbücher eine in Aufwand und Ertrag optimale Methode zur Erarbeitung von IT-Sicherheitskonzepten gesehen werden kann.

Seitenanfang

IT-Sicherheits-Zertifizierung

Weil es bei der Beratung zu technischen Datenschutzfragen, insbesondere im Zusammenhang mit der Projektierung von IT-Anwendungen, häufig darum geht, Standardprodukte, die in größeren Stückzahlen regional, national oder sogar weltweit verbreitet werden, nach einheitlichen Kriterien zu bewerten und zu vergleichen, besteht ein Bedarf nach amtlichen und damit interessenungebundenen und allgemein anerkannten Zertifikaten für die IT-Sicherheit.

Ihre Bedeutung für den Datenschutz relativiert sich allerdings, wenn man überlegt, welche Einflußsphären auf die Sicherheit von konkreten IT-Anwendungen tatsächlich einwirken:

- die informationstechnische Sicherheit der eingesetzten Hard- und Softwareprodukte, d.h. die Eigenschaften der Systeme, sich verläßlich zu verhalten, gegen unabsichtliche und absichtliche Angriffe auf die IT-Sicherheit resistent zu sein, sie erkennen, abwehren und nachvollziehbar machen zu können (technische Sicherheit);

- die sorgfältige und an der IT-Sicherheit orientierte Nutzung der zur der Sicherheit dienenden Leistungsmerkmale und Systemkomponenten (Anwendungssicherheit);

- die an Sicherheit und Datenschutz orientierte Gestaltung der Informations- und Datenflüsse in einer Organisation (organisatorische Sicherheit);

- die Fähigkeit und Bereitschaft der beteiligten Personen, im Sinne der informationstechnischen Sicherheit zu handeln (personelle Sicherheit).

Nach unseren Prüferfahrungen steigt die Bedeutung dieser Einflußsphären für die erzielte Sicherheit in der Reihenfolge der hier gewählten Darstellung. Nicht umsonst weisen alle uns bisher in der Berliner Verwaltung bekanntgewordenen IT-Sicherheitsuntersuchungen unter Verwendung des IT-Sicherheitshandbuches nicht hinnehmbare Restrisiken im personellen Bereich auf. Daß dies ein Spezifikum der öffentlichen Verwaltung ist, kann bezweifelt werden.

Obwohl der Bereich, der einer Zertifizierung unterliegen kann, begrenzt ist, werden die Zertifikate aber nicht unbedeutend, denn gerade die Sicherheit der eingesetzten Hard- und Softwareprodukte ist am allerwenigsten von den Anwendern beeinflußbar und beurteilbar. Anhaltspunkte für die Auswahl sicherer Systeme sind daher für Anwender und Berater von großer Bedeutung. Wenn man auf amtliche Zertifikate unbesehen zurückgreifen kann, kann man aufgrund der jeweiligen Bedrohungssituationen zu klaren Aussagen kommen und sich auf Empfehlungen konzentrieren, die die Anwendungssicherheit sowie die organisatorische und personelle Sicherheit betreffen.

Anzustreben wäre, auf der Grundlage einer fundierten Bedrohungs- und Risikoanalyse mit der zu beratenden Stelle einen Konsens über die notwendigen Sicherheitsstufen nach dem Orange-Book oder ITSEC zu erzielen, so daß entsprechende Forderungen im Pflichtenheft formuliert werden können, um sich anschließend auf das zu konzentrieren, was in der Organisation von innen heraus für die informationstechnischen Sicherheit getan werden muß.

Leider ist dies kaum möglich, denn es gibt zu wenige zertifizierte Produkte. Häufig entsprechen diese nicht mehr dem neuesten Stand der Technik, weil spätere Versionen auf dem Markt sind, die nicht oder noch nicht zertifiziert worden sind. Es sollten daher Wege gefunden werden, die Zertifizierungsverfahren zu beschleunigen, billiger zu machen und damit abzuspecken. Zivile Anwendungen haben andere Anforderungen als solche, die geheimdienstlichen Ansprüchen genügen müssen, stellen aber sicher mehr als 95 % aller sicherheitsbedürftigen Anwendungen. Die heute verwendeten IT-Sicherheitskriterien umfassen jedoch ein Spektrum, das für zivile Anwendungen nur im unteren Drittel erschlossen ist. Soweit die Sicherheitsstufen hierfür relevant sind, besteht daher auch das Bedürfnis, eine stärkere Differenzierung zu finden. Dazu wäre eine neue Erfassung ziviler Anforderungen geboten, die nach unserer Auffassung auf der Grundlage anderer Bedrohungs- und Risikolagen definiert werden sollten. In der Regel brauchen wir dort keinen Schutz vor ausgeklügelten, von langer Hand vorbereiteten kriminellen oder geheimdienstlichen Angriffen, sondern Schutz vor den Folgen menschlicher Fehler oder organisatorischer Pannen.

Nur dann, wenn das Sicherheitszertifikat die aktuell zu beschaffende Hard- oder Software betrifft, wenn es den Herstellern zumutbar ist, solche Zertifikate beizubringen und für die anwendenden Organisationen nachvollziehbar ist, daß das Zertifikat etwas zusichert, für das sie selbst einen Bedarf sehen, dann kann es in diesem Bereich, in dem die eigentliche Masse der Systeme abgesetzt wird, zum Verkaufsargument werden. Erst dann kann die Empfehlung ausgesprochen werden, bei den Ausschreibungen Zertifikate bestimmter Sicherheitsstufen als Ausschlußkriterium zu fordern.

IT-Sicherheitshandbuch und IT-Grundschutzhandbuch

Das IT-Sicherheitshandbuch beschreibt ein Verfahren zur Gewährleistung der IT-Sicherheit. Dabei kann es sich um Rechenzentren, spezielle Anwendungen mit ihren Anwendungsumgebungen, um Netze beliebiger Ausdehnung, um IT-Anwender insgesamt oder auch nur um Teile davon handeln.

Die Erstellung eines IT-Sicherheitskonzepts durchläuft vier Phasen, wobei Rückkopplungen zwischen Phasen durchaus beabsichtigt, ja sogar zu empfehlen sind:

  • Zunächst ist die Schutzbedürftigkeit zu ermitteln, in dem die IT-Anwendungen und zu verarbeitenden Informationen erfaßt und hinsichtlich ihrer Schutzbedürftigkeit bewertet werden. Jeder erfaßten IT-Anwendung und Information werden Werte für den Schaden zugeordnet, der entsteht, wenn sich Bedrohungen der Vertraulichkeit, Integrität und Verfügbarkeit realisieren.
  • Danach werden in einer Bedrohungsanalyse bedrohte Objekte differenziert erfaßt. Schwachstellen und Schutzmaßnahmen werden beschrieben und die relevanten Bedrohungen aufgelistet und den Grundbedrohungen zugeordnet.
  • Es erfolgt eine Risikoanalyse, bei der eine Bewertung der bedrohten Objekte, von denen die Durchführung der IT-Anwendungen und die Verarbeitung der Informationen abhängt, vorgenommen wird. Den Bedrohungen der Objekte werden Schadenswerte zugeordnet. Die Häufigkeit, mit der ein Schaden eintritt, wird in einer Skala abgeschätzt, so daß schließlich eine Übersicht von Bedrohungen und Objekten einerseits, sowie Schadens- und Häufigkeitswerten andererseits entsteht. Festzulegen ist, welche Schadenshöhe bei welchem Häufigkeitswert als tragbar oder untragbar anzusehen sind. Dann kann mit einer Entscheidungstabelle festgestellt werden, wo durch zusätzliche Maßnahmen die Risiken einzudämmen sind.
  • In der letzten Phase ist das IT-Sicherheitskonzept zu erstellen. Maßnahmen zur Reduzierung der Risiken werden ausgewählt und hinsichtlich ihrer Wirkung auf Schadenshöhe und Häufigkeitswert bewertet. Es werden Kosten-/Nutzenbetrachtungen angestellt und die Angemessenheit von Maßnahmen auch aus dieser Sicht geprüft. Gegebenenfalls sind alternative Maßnahmen auszuwählen. Das Ergebnis der Auswahl der Maßnahmen wird dann einer Restrisikoanalyse unterzogen, um festzustellen, ob die vorher als untragbar erkannten Risiken durch die Maßnahmen auf eine akzeptables Maß reduziert werden können. Unter Umständen wären weitere oder verschärfende Maßnahmen zu treffen.

Am Ende des Prozesses darf es keine untragbaren Risiken mehr geben.

Der Prozeß enthält viele Schritte, bei denen subjektive Betrachtungen eine Rolle spielen, so bei der Definition von Bewertungsskalen, der Festlegung von Entscheidungstabellen und bei der Bewertung selbst. Um hier der Gefahr vorzubeugen, daß einseitige Ausrichtungen der Meinungsbildung, z. B. die Überbetonung wirtschaftlicher Restriktionen oder ein übertriebenes Sicherheitsbedürfnis das Ergebnis verfälschen, wird zu den einzelnen Schritten ausdrücklich festgelegt, wer sich an diesen Betrachtungen zu beteiligen hat.

Erste Erfahrungen in der Berliner Verwaltung haben gezeigt, daß es ratsam ist, die Meinung von neutralen Sicherheitsexperten nicht zu vernachlässigen, da sonst der "Rotstift" beim Sicherheitskonzept regiert, vornehmlich dann, wenn er bei den übrigen Investitionen nicht wirksam genug eingesetzt wurde.

Das IT-Sicherheitshandbuch ist in der Berliner Verwaltung bisher im Rahmen von Großprojekten wie MAN, ISDN-Vernetzung oder AHW eingesetzt worden. In allen Fällen wurden die Untersuchungen von Beratungsfirmen durchgeführt. Diese Anwendungen haben zu wesentlich mehr Klarheit über die Risiken, Schwachstellen und Maßnahmenschwerpunkte geführt und wegen des methodischen Vorgehens auch das Vertrauen gestärkt, daß die Erkenntnisse als einigermaßen lückenlos angesehen werden können. Entscheidend ist jedoch in allen Fällen, daß die von neutraler Stelle empfohlenen Maßnahmen auch umgesetzt werden. Vorschläge für Sicherheitskonzepte von spezialisierten Unternehmen stehen noch nicht für sichere Systeme und Anwendungen !

Der große zeitliche und fachliche Aufwand bei der Anwendung des IT-Sicherheitshandbuches macht seinen Einsatz nur dort sinnvoll, wo es schon von der Bedeutung und Größe eines Projektes her angemessen erscheint. Wenn Millionenbeträge in neue Systeme und Verfahren investiert werden, von deren Sicherheit die Funktionsfähigkeit ganzer Verwaltungszweige abhängt und die informationelle Selbstbestimmung der Bürger gravierend tangiert wird, darf an einer systematischen Erarbeitung und Umsetzung von IT-Sicherheitskonzepten nicht gespart werden.

Andererseits ist zu akzeptieren, daß eine konsequente Anwendung des IT-Sicherheitshandbuchs für das Gros der Systeme und Verfahren die Verwaltung überfordern würde. Diese Kritik am IT-Sicherheitshandbuch wurde von der Fachwelt bald nach seiner Veröffentlichung erhoben. Einige Beratungsunternehmen entwickelten vereinfachte Analyseverfahren. Aber auch das BSI nahm die Kritik auf und entwickelte mit dem IT-Grundschutzhandbuch eine Alternative mit einem vereinfachten Verfahren für den sog. mittleren Schutzbedarf.

Das IT-Grundschutzhandbuch verzichtet auf aufwendige Risikoanalysen und auf differenzierte Fallunterscheidungen bei den Systemkonfigurationen. Auf der Grundlage überschlägiger Risikobetrachtungen werden Maßnahmenbündel für typische Systemkonfigurationen, Umfeld- und Organisationsbedingungen vorgeschlagen. Derzeit erfaßt das IT-Grundschutz-handbuch den IT-Grundschutz übergeordneter Komponenten wie Organisation, Personal, Notfallvorsorge und Datensicherung, der Infrastruktur wie Gebäude, Verkabelung Büro- und Funktionsräume, von nichtvernetzten Systemen (DOS-PCs, UNIX-Mehrplatzsysteme, tragbare Systeme), von vernetzten Systemen (servergestützte PC-Netze, vernetzte UNIX-Systeme), von Datenübertragungseinrichtungen (Datenträgeraustausch, Modems), von Telekommunikationsystemen (digitale TK-Anlage, Telefax, Anrufbeantworter). Die IT-Grundschutzhandbuch ist auf die Erweiterung um weitere Standardkonfigurationen ausgelegt.

Für diese verschiedenen Gegenstandsbereiche bietet das IT-Grundschutzhandbuch Maßnahmen- und Gefährdungskataloge an und stellt Gefährdungen und Maßnahmen in tabellarische Beziehungen. Diese Kataloge stellen auch außerhalb der Anwendung des Handbuches eine lehrreiche Lektüre für alle dar, die Anregungen dafür benötigen, was in Standardkonfigurationen und -situationen an Unvorhergesehenem passieren und was man dagegen tun kann.

Aus Sicht des technisch-organisatorischen Datenschutzes ist allerdings zu betonen, daß

- der IT-Grundschutz Grenzen unterliegt und nicht für IT-Systeme ausreichend ist, die eines hohen Schutzes bedürfen,

- das einmalige Erstellen eines IT-Sicherheitskonzeptes nicht ausreicht, sondern einem ständigen Regelkreislauf aus Konzeption, Realisierung und Kontrolle der Maßnahmen unterliegen muß. Dies sicherzustellen ist eine Leitungsaufgabe.

Allerdings vereinfacht das IT-Grundschutzhandbuch auch den IT-Sicherheitsprozeß bei hochschutzbedürftigen Systemen und Anwendungen. Wenn die bedrohten Objekte nach dem IT-Sicherheitshandbuch bestimmt worden sind, kann geprüft werden, welche Objekte besondere Gefährdungen für das hochschutzbedürftige Systeme aufweisen und daher der differenzierten Analyse nach dem IT-Sicherheitshandbuch bedürfen und für welche Objekte die pauschalen Betrachtungen des IT-Grundschutzhandbuchs ausreichend sind. Auch dort, wo die Maßnahmenempfehlungen nicht ausreichend sind, können sie zumindest zur Grundlage weitergehender Maßnahmen gemacht werden (Hochschutz = Grundschutz + X).

Nachdem mit dem zumindest vorläufigen Scheitern des Projektes BROSiA [43] berlinweit verbindliche Rahmensetzungen für die Sicherstellung der informationstechnischen Sicherheit trotz der gewaltigen Anstrengungen zur Informatisierung der Berliner Verwaltung nicht zu erhoffen sind, begrüßen wir, daß die Senatsverwaltung für Inneres die Verwendung des IT-Grundschutzhandbuchs in einem Rundschreiben der Verwaltung unter den vom BSI vorgeschlagenen Einschränkungen empfiehlt.

Zuletzt geändert:
am 08.02.97

mail to webmaster