Orientierungshilfe zu
|
3. Firewall-Systeme |
4 | AUSWAHL UND UMSETZUNG DER SICHERHEITSMASSNAHMEN; BETRIEBSPHASE |
Aus den Anforderungen der im Vorfeld gemachten Sicherheitsbetrachtungen der Kommunikations- und der Risikoanalyse ist ein Regelwerk zu erstellen. In dieser Security Policy sind die Rahmenbedingungen zur Einrichtung, zum Betrieb und zur Verwaltung der Systeme für die interne Kommunikation und die Verbindungen zum Internet festzulegen.
Die Zuständigkeiten für Betrieb, Verwaltung und Administration der für den Verbund eingesetzten Kommunikationssyteme muß abgestimmt sein. Es müssen die notwendigen Maßnahmen aufgeführt werden, die dem Schutz nach innen und außen dienen. Bereiche mit sensiblen Datenbeständen müssen besonders berücksichtigt werden.
In Bezug auf die Firewall sollte die Security Policy folgende Festlegungen enthalten (vgl. [BSI]):
Basierend auf der Security Policy ist ein Sicherheitskonzept zu erstellen, welches die Vorgaben in konkrete Maßnahmen (Konfigurationen, Filterregeln etc.) umsetzt.
Voraussetzung für die Anbindung eines Behördennetzes an das Internet ist das Vorliegen einer schlüssigen Security Policy und eines davon abgeleiteten Sicherheitskonzepts sowie dessen konsequente Umsetzung. Die Internet-Anbindung darf nur erfolgen, wenn die Risiken durch technische und organisatorische Maßnahmen wirksam beherrscht werden können. |
Firewall-Systeme müssen transparent und einfach aufgebaut sein. Mit zunehmender Komplexität steigt auch die Wahrscheinlichkeit von Fehlern. Nicht für den Betrieb der Firewall benötigte Anwendungen und Systemprogramme sind daher zu löschen. Auch die Bedienung und Konfiguration der Firewall müssen benutzungsfreundlich realisiert sein, da sonst unbeabsichtigte Fehleinstellungen Sicherheitseinbußen mit sich bringen. Vertrauenswürdige Systeme müssen ihre Funktionsweise offenlegen, denn nur dann ist es Experten möglich, Hintertüren auszuschließen und die Gefahr von Sicherheitslücken fundiert zu diskutieren. Sicherheitszertifikate für Firewalls können dazu beitragen, daß sich der Grad des Schutzes, den das jeweilige Produkt bietet, leichter einschätzen läßt und Vergleiche zwischen verschiedenen Produkten möglich werden.
Durch den Einsatz verschiedener Produkte, die unabhängig voneinander entwickelt wurden und arbeiten, läßt sich das Sicherheitsniveau steigern. "Monokulturen" sollten vermieden werden, denn wenn ein Angreifer einen bisher unentdeckten Fehler ausnutzt, kann dort leicht der gesamte Schutzwall zusammenbrechen.
Bei der Konfiguration einer Firewall folgt man am besten der Regel: "Alles, was nicht ausdrücklich erlaubt ist, ist verboten." Wenn man bei der Definition der Regeln etwas übersehen hat, wird nur die Funktionalität und nicht die Sicherheit eingeschränkt. Während man eine Einschränkung der Funktionalität im Bedarfsfall schnell merkt, bleiben Einbußen in der Sicherheit oft unerkannt.
Es gibt keine 100%ige Sicherheit. Hinzu kommt, daß sich meist im Laufe der Zeit die Stärke der Sicherheit verringert, z.B. durch Entdeckung von Fehlern, Herausbildung neuer Angriffsformen oder auch Verbesserung der Systemausstattung von Angreifern. Unverzichtbar ist es daher, eine ausreichende und fortlaufende Betreuung des eingesetzten Firewall-Systems durch qualifiziertes Personal zu gewährleisten (vgl. auch [CheBel]). Die Administratoren sollten ständig die Diskussion um Sicherheitslücken verfolgen [2] und sich auch weiterbilden. Das Sicherheitsniveau des Firewallsystems ist regelmäßig neu zu bewerten, damit die Systeme auf den aktuellen Stand gebracht werden.
Treten neue Bedrohungen auf, so ist die Kommunikations- und Risikoanalyse entsprechend zu aktualisieren. Eine solche Anpassung ist auch notwendig, wenn beabsichtigt ist, bisher nicht vorgesehene Internetdienste zur Verfügung zu stellen. Die Firewallsoftware ist laufend zu aktualisieren. Falls notwendig, ist das Firewallsystem umzukonfigurieren oder es sind einzelne Moduln oder die gesamte Firewall auch außerplanmäßig auszutauschen.
Da nicht alle Angriffsversuche auf das lokale Netz von der Firewall vollständig abgeblockt werden können, ist durch die Systemadministration der laufende Betrieb der Firewall zu überwachen. Dazu müssen die Protokolle regelmäßig ausgewertet werden, um auch solche Angriffsversuche entdecken zu können, die durch die Firewall nicht abgewiesen werden können. Es ist dafür zu sorgen, daß dringende Warnmeldungen der Firewall der Bedrohungslage angemessen konfiguriert sind. Ferner müssen diese Meldungen das Wartungspersonal unverzüglich erreichen und zeitnah behandelt werden.
Die Firewalladministration kann nicht losgelöst von der Verwaltung des (lokalen) Verwaltungsnetzes gesehen werden. Kommen beispielsweise Benutzerinnen und Benutzer hinzu, scheiden sie aus oder wechseln sie ihr Aufgabengebiet, so kann sich daraus eine Veränderung in den zur Verfügung zu stellenden Diensten ergeben. Dies erfordert eine entsprechende Aktivität der Firewalladministration. Umgekehrt hat die lokale Administration den Schwachstellen im lokalen Netz besondere Aufmerksamkeit zu schenken, die durch Angriffe von außen ausgenutzt werden können.
Werden aufgrund der Größe oder Struktur der Verwaltungseinheit auch zwischen verschiedenen Teilen dieser Einheit Firewalls eingesetzt, so können bestimmte Aufgaben der Firewall-Administration sinnvoll zentralisiert werden. Insbesondere zählen dazu diejenigen Tätigkeiten, die unabhängig von der Rechteverwaltung der einzelnen Benutzerinnen und Benutzer sind.
Sind bereits für die Planung und Einführung eines Firewall-Systems [3] eine Vielzahl von Fragestellungen hinsichtlich technischer, organisatorischer, planerischer und rechtlicher Art zu beachten, kommen während der Betriebsphase weitere Problemkreise hinzu, die durch den Betreiber, ggf. in Abstimmung mit den Benutzern bzw. deren Personalvertretung zu beantworten sind.
Da die in diesem Zusammenhang zu treffenden Maßnahmen teilweise auch auf die Planungs- und Einführungsphase zurückwirken, sollte auch die Betriebsphase der Firewall bereits frühzeitig berücksichtigt werden. Als rechtliche Rahmenbedingungen kommen - zumindest wenn die private Nutzung einzelner oder aller Dienste des Internet zugelassen ist - neben dem Art. 10 Grundgesetz (Fernmeldegeheimnis) [4] auch die Regelungen des Telekommunikationsgesetzes (TKG, hier insbesondere § 85 Fernmeldegeheimnis und § 89 Datenschutz) sowie die Regelungen des Teledienstedatenschutzgesetzes (TDDSG) und die Datenschutzregelungen des Mediendienste-Staatsvertrages (MDStV) in Betracht.
Typische Anforderungen während des Betriebs eines Firewall-Systems sind:
A1 | Schutz des ordnungsgemäßen Betriebs der Firewall, d.h. der Durchlässigkeit für zugelassenen Netzverkehr einerseits und der Undurchlässigkeit für nicht zugelassenen Netzverkehr andererseits (eingehend oder ausgehend), |
A2 | Schutz des internen Netzes vor Angriffen von außen, sowohl bezogen auf online-Angriffe als auch auf offline-Angriffe (z.B. durch eingeschleuste Viren), |
A3 | Schutz vor einer unzulässigen bzw. rechtswidrigen Nutzung der Firewall, sei es von außen (z.B. Hacking) oder von innen (z.B. unerlaubte private Nutzung oder unzulässiger Zugriff auf für dienstliche Zwecke nicht erforderliche Informationsangebote), |
A4 | die rechtliche, organisatorische und technische Differenzierung zwischen der dienstlichen und der privaten Nutzung des Internet-Anschlusses, soweit eine außerdienstliche Nutzung überhaupt zugelassen wird, |
A5 | Abrechnung von Leistungen, die durch die Firewall erbracht werden, |
A6 | Statistische Auswertungen der Firewall-Benutzung z.B. zur Angebotsoptimierung. |
Um diese Anforderungen umzusetzen, stehen - im wesentlichen unabhängig von der technischen Entwicklung oder einer
rechtlichen Beurteilung - folgende technisch-organisatorische Maßnahmen zur Verfügung:
M1 | Gestaltung der Netzzugangspolicy und der Betriebsparameter der Firewall allgemein, |
M2 | Auswertung der Inhalte übertragener Daten (z.B. hinsichtlich eines potentiellen Virenbefalls), |
M3 | Auswertung der Verbindungsdaten, insbesondere der URL (z.B. hinsichtlich Datenvolumen, Adressen). |
Dabei ergibt sich grundsätzlich folgende Eignungsmatrix für die genannten Maßnahmen, wobei die rechtliche Zulässigkeit der jeweiligen Maßnahme im Einzelfall zu prüfen bleibt:
A1 | A2 | A3 | A4 | A5 | A6 | |
M1 | x | x | x | x | x | x |
M2 | - | x | x | x | - | - |
M3 | x | x | x | - | x | x |
Aufgrund der rechtlich unterschiedlichen Bewertung der Datenübertragung für eigene Zwecke einerseits und für Dritte andererseits sowie der damit verbundenen praktischen Konsequenzen sollte in einer Dienst- oder Betriebsvereinbarung klar geregelt werden, ob und wenn ja welche Dienste zur privaten Nutzung freigegeben sind. | |
Im Hinblick darauf, daß bei behörden- und unternehmensinternen Systemen Mitbestimmungstatbestände erfüllt sind (Verhaltens- und Leistungskontrolle), müssen die Personalvertretungen und Betriebsräte schon bei der Planung und Einführung von Firewallsystemen und insbesondere der Protokollierung beteiligt werden. Gegebenenfalls müssen entsprechende Betriebs- oder Dienstvereinbarungen abgeschlossen werden, in denen das Verfahren der Protokollierung, der Kontrolle und der Auswertung der Protokolle verbindlich geregelt wird. | |
Bei Datenübertragung für eigene Zwecke sind die Benutzer auf die Art und den Umfang technischer Kontrollen hinzuweisen, damit sie ihr Nutzerverhalten entsprechend steuern können; ferner müssen sie darüber informiert werden, welche Folgen es hat, wenn Nachrichten ausgefiltert werden. | |
Zur Durchsetzung des Verbots einer privaten Nutzung oder des Zugriffs auf unerwünschte Adressen sollte grundsätzlich auf eine Protokollierung verzichtet werden. Die Durchsetzung des Verbots des Zugriffs auf unerwünschte Adressen sollte soweit möglich über die Sperrung solcher unerwünschter Adressen versucht und derartige Zugriffsversuche sollten protokolliert werden. | |
Eine Protokollierung aller erfolgreichen, zulässigen Verbindungen ist für die Aufrechterhaltung eines ordnungsgemäßen Betriebs der Firewall nicht erforderlich; es dürfen unter den oben angeführten rechtlichen Rahmenbedingungen nur solche Verbindungen oder Verbindungsversuche aufgezeichnet werden, die einen Angriff darstellen und die zum Erkennen eines potentiellen Angriff erforderlich sind. | |
Jede Protokollierung ist so auszugestalten, daß unter Wahrung des Zwecks ein datenschutzrechtlicher Mißbrauch
vermieden wird, d.h.:
|
|
Bei Inhaltskontrollen übertragener Daten (z.B. zum Zweck der Virenkontrolle) sind bereichsspezifische Regelungen und vertragliche Vereinbarungen zu beachten. | |
Bei Datenübertragung für Dritte sind Inhaltskontrollen nur im Auftrag bzw. mit der Einwilligung des Betroffenen
[5] zulässig, wobei dem Auftraggeber (z.B. beim Outsourcing)
Gestaltungsmöglichkeiten hinsichtlich folgender Aspekte einzuräumen sind:
|
|
Bei Inhaltskontrollen ist insgesamt der Eingriff in das Fernmeldegeheimnis und in das Recht auf informationelle Selbstbestimmung
möglichst zu minimieren, d.h.:
|
5. Ausblick |