Technisch-Organisatorische Maßnahmen
Startseite

Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Adressen von Datenschutzbehörden
Materialien
Service und Verweise
Datenschutz nach Themen

Orientierungshilfe zu
Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet

Zu den Firewall-Systemen 3. Firewall-Systeme

Zur Inhaltsübersicht AUSWAHL UND UMSETZUNG DER SICHERHEITSMASSNAHMEN;
BETRIEBSPHASE

 
4.1  Security Policy und Sicherheitskonzept

Aus den Anforderungen der im Vorfeld gemachten Sicherheitsbetrachtungen der Kommunikations- und der Risikoanalyse ist ein Regelwerk zu erstellen. In dieser Security Policy sind die Rahmenbedingungen zur Einrichtung, zum Betrieb und zur Verwaltung der Systeme für die interne Kommunikation und die Verbindungen zum Internet festzulegen.

Die Zuständigkeiten für Betrieb, Verwaltung und Administration der für den Verbund eingesetzten Kommunikationssyteme muß abgestimmt sein. Es müssen die notwendigen Maßnahmen aufgeführt werden, die dem Schutz nach innen und außen dienen. Bereiche mit sensiblen Datenbeständen müssen besonders berücksichtigt werden.

In Bezug auf die Firewall sollte die Security Policy folgende Festlegungen enthalten (vgl. [BSI]):

  • Was soll geschützt werden?
  • Welche Dienste sind erforderlich?
  • Welche Benutzer werden zugelassen?
  • Welche Ereignisse werden protokolliert und wer wertet diese Daten aus?
  • Welcher Datendurchsatz ist zu erwarten?
Da die Sicherheit des Gesamtsystems nicht allein von der Firewall bestimmt wird, sind in die Security Policy auch flankierende Vorgaben aufzunehmern, wie das Verbot von zusätzlichen Netzzugängen z.B. per Modem oder ISDN, Virenschutz und Backup-Konzept.

Basierend auf der Security Policy ist ein Sicherheitskonzept zu erstellen, welches die Vorgaben in konkrete Maßnahmen (Konfigurationen, Filterregeln etc.) umsetzt.

Voraussetzung für die Anbindung eines Behördennetzes an das Internet ist das Vorliegen einer schlüssigen Security Policy und eines davon abgeleiteten Sicherheitskonzepts sowie dessen konsequente Umsetzung. Die Internet-Anbindung darf nur erfolgen, wenn die Risiken durch technische und organisatorische Maßnahmen wirksam beherrscht werden können.

 
4.2  Auswahl, Konfiguration und Wartung von Firewall-Systemen

Firewall-Systeme müssen transparent und einfach aufgebaut sein. Mit zunehmender Komplexität steigt auch die Wahrscheinlichkeit von Fehlern. Nicht für den Betrieb der Firewall benötigte Anwendungen und Systemprogramme sind daher zu löschen. Auch die Bedienung und Konfiguration der Firewall müssen benutzungsfreundlich realisiert sein, da sonst unbeabsichtigte Fehleinstellungen Sicherheitseinbußen mit sich bringen. Vertrauenswürdige Systeme müssen ihre Funktionsweise offenlegen, denn nur dann ist es Experten möglich, Hintertüren auszuschließen und die Gefahr von Sicherheitslücken fundiert zu diskutieren. Sicherheitszertifikate für Firewalls können dazu beitragen, daß sich der Grad des Schutzes, den das jeweilige Produkt bietet, leichter einschätzen läßt und Vergleiche zwischen verschiedenen Produkten möglich werden.

Durch den Einsatz verschiedener Produkte, die unabhängig voneinander entwickelt wurden und arbeiten, läßt sich das Sicherheitsniveau steigern. "Monokulturen" sollten vermieden werden, denn wenn ein Angreifer einen bisher unentdeckten Fehler ausnutzt, kann dort leicht der gesamte Schutzwall zusammenbrechen.

Bei der Konfiguration einer Firewall folgt man am besten der Regel: "Alles, was nicht ausdrücklich erlaubt ist, ist verboten." Wenn man bei der Definition der Regeln etwas übersehen hat, wird nur die Funktionalität und nicht die Sicherheit eingeschränkt. Während man eine Einschränkung der Funktionalität im Bedarfsfall schnell merkt, bleiben Einbußen in der Sicherheit oft unerkannt.

Es gibt keine 100%ige Sicherheit. Hinzu kommt, daß sich meist im Laufe der Zeit die Stärke der Sicherheit verringert, z.B. durch Entdeckung von Fehlern, Herausbildung neuer Angriffsformen oder auch Verbesserung der Systemausstattung von Angreifern. Unverzichtbar ist es daher, eine ausreichende und fortlaufende Betreuung des eingesetzten Firewall-Systems durch qualifiziertes Personal zu gewährleisten (vgl. auch [CheBel]). Die Administratoren sollten ständig die Diskussion um Sicherheitslücken verfolgen [2] und sich auch weiterbilden. Das Sicherheitsniveau des Firewallsystems ist regelmäßig neu zu bewerten, damit die Systeme auf den aktuellen Stand gebracht werden.

Treten neue Bedrohungen auf, so ist die Kommunikations- und Risikoanalyse entsprechend zu aktualisieren. Eine solche Anpassung ist auch notwendig, wenn beabsichtigt ist, bisher nicht vorgesehene Internetdienste zur Verfügung zu stellen. Die Firewallsoftware ist laufend zu aktualisieren. Falls notwendig, ist das Firewallsystem umzukonfigurieren oder es sind einzelne Moduln oder die gesamte Firewall auch außerplanmäßig auszutauschen.

Da nicht alle Angriffsversuche auf das lokale Netz von der Firewall vollständig abgeblockt werden können, ist durch die Systemadministration der laufende Betrieb der Firewall zu überwachen. Dazu müssen die Protokolle regelmäßig ausgewertet werden, um auch solche Angriffsversuche entdecken zu können, die durch die Firewall nicht abgewiesen werden können. Es ist dafür zu sorgen, daß dringende Warnmeldungen der Firewall der Bedrohungslage angemessen konfiguriert sind. Ferner müssen diese Meldungen das Wartungspersonal unverzüglich erreichen und zeitnah behandelt werden.

Die Firewalladministration kann nicht losgelöst von der Verwaltung des (lokalen) Verwaltungsnetzes gesehen werden. Kommen beispielsweise Benutzerinnen und Benutzer hinzu, scheiden sie aus oder wechseln sie ihr Aufgabengebiet, so kann sich daraus eine Veränderung in den zur Verfügung zu stellenden Diensten ergeben. Dies erfordert eine entsprechende Aktivität der Firewalladministration. Umgekehrt hat die lokale Administration den Schwachstellen im lokalen Netz besondere Aufmerksamkeit zu schenken, die durch Angriffe von außen ausgenutzt werden können.

Werden aufgrund der Größe oder Struktur der Verwaltungseinheit auch zwischen verschiedenen Teilen dieser Einheit Firewalls eingesetzt, so können bestimmte Aufgaben der Firewall-Administration sinnvoll zentralisiert werden. Insbesondere zählen dazu diejenigen Tätigkeiten, die unabhängig von der Rechteverwaltung der einzelnen Benutzerinnen und Benutzer sind.

 
4.3  Rahmenbedingungen für Konfiguration und Betrieb

Sind bereits für die Planung und Einführung eines Firewall-Systems [3] eine Vielzahl von Fragestellungen hinsichtlich technischer, organisatorischer, planerischer und rechtlicher Art zu beachten, kommen während der Betriebsphase weitere Problemkreise hinzu, die durch den Betreiber, ggf. in Abstimmung mit den Benutzern bzw. deren Personalvertretung zu beantworten sind.

Da die in diesem Zusammenhang zu treffenden Maßnahmen teilweise auch auf die Planungs- und Einführungsphase zurückwirken, sollte auch die Betriebsphase der Firewall bereits frühzeitig berücksichtigt werden. Als rechtliche Rahmenbedingungen kommen - zumindest wenn die private Nutzung einzelner oder aller Dienste des Internet zugelassen ist - neben dem Art. 10 Grundgesetz (Fernmeldegeheimnis) [4] auch die Regelungen des Telekommunikationsgesetzes (TKG, hier insbesondere § 85 Fernmeldegeheimnis und § 89 Datenschutz) sowie die Regelungen des Teledienstedatenschutzgesetzes (TDDSG) und die Datenschutzregelungen des Mediendienste-Staatsvertrages (MDStV) in Betracht.

Typische Anforderungen während des Betriebs eines Firewall-Systems sind:

A1 Schutz des ordnungsgemäßen Betriebs der Firewall, d.h. der Durchlässigkeit für zugelassenen Netzverkehr einerseits und der Undurchlässigkeit für nicht zugelassenen Netzverkehr andererseits (eingehend oder ausgehend),
A2 Schutz des internen Netzes vor Angriffen von außen, sowohl bezogen auf online-Angriffe als auch auf offline-Angriffe (z.B. durch eingeschleuste Viren),
A3 Schutz vor einer unzulässigen bzw. rechtswidrigen Nutzung der Firewall, sei es von außen (z.B. Hacking) oder von innen (z.B. unerlaubte private Nutzung oder unzulässiger Zugriff auf für dienstliche Zwecke nicht erforderliche Informationsangebote),
A4 die rechtliche, organisatorische und technische Differenzierung zwischen der dienstlichen und der privaten Nutzung des Internet-Anschlusses, soweit eine außerdienstliche Nutzung überhaupt zugelassen wird,
A5 Abrechnung von Leistungen, die durch die Firewall erbracht werden,
A6 Statistische Auswertungen der Firewall-Benutzung z.B. zur Angebotsoptimierung.

Um diese Anforderungen umzusetzen, stehen - im wesentlichen unabhängig von der technischen Entwicklung oder einer rechtlichen Beurteilung - folgende technisch-organisatorische Maßnahmen zur Verfügung:

M1 Gestaltung der Netzzugangspolicy und der Betriebsparameter der Firewall allgemein,
M2 Auswertung der Inhalte übertragener Daten (z.B. hinsichtlich eines potentiellen Virenbefalls),
M3 Auswertung der Verbindungsdaten, insbesondere der URL (z.B. hinsichtlich Datenvolumen, Adressen).

Dabei ergibt sich grundsätzlich folgende Eignungsmatrix für die genannten Maßnahmen, wobei die rechtliche Zulässigkeit der jeweiligen Maßnahme im Einzelfall zu prüfen bleibt:

  A1 A2 A3 A4 A5 A6
M1 x x x x x x
M2 - x x x - -
M3 x x x - x x

 
4.4  Empfehlungen für den Betrieb einer Firewall

Empfehlung! Aufgrund der rechtlich unterschiedlichen Bewertung der Datenübertragung für eigene Zwecke einerseits und für Dritte andererseits sowie der damit verbundenen praktischen Konsequenzen sollte in einer Dienst- oder Betriebsvereinbarung klar geregelt werden, ob und wenn ja welche Dienste zur privaten Nutzung freigegeben sind.
Empfehlung! Im Hinblick darauf, daß bei behörden- und unternehmensinternen Systemen Mitbestimmungstatbestände erfüllt sind (Verhaltens- und Leistungskontrolle), müssen die Personalvertretungen und Betriebsräte schon bei der Planung und Einführung von Firewallsystemen und insbesondere der Protokollierung beteiligt werden. Gegebenenfalls müssen entsprechende Betriebs- oder Dienstvereinbarungen abgeschlossen werden, in denen das Verfahren der Protokollierung, der Kontrolle und der Auswertung der Protokolle verbindlich geregelt wird.
Empfehlung! Bei Datenübertragung für eigene Zwecke sind die Benutzer auf die Art und den Umfang technischer Kontrollen hinzuweisen, damit sie ihr Nutzerverhalten entsprechend steuern können; ferner müssen sie darüber informiert werden, welche Folgen es hat, wenn Nachrichten ausgefiltert werden.
Empfehlung! Zur Durchsetzung des Verbots einer privaten Nutzung oder des Zugriffs auf unerwünschte Adressen sollte grundsätzlich auf eine Protokollierung verzichtet werden. Die Durchsetzung des Verbots des Zugriffs auf unerwünschte Adressen sollte soweit möglich über die Sperrung solcher unerwünschter Adressen versucht und derartige Zugriffsversuche sollten protokolliert werden.
Empfehlung! Eine Protokollierung aller erfolgreichen, zulässigen Verbindungen ist für die Aufrechterhaltung eines ordnungsgemäßen Betriebs der Firewall nicht erforderlich; es dürfen unter den oben angeführten rechtlichen Rahmenbedingungen nur solche Verbindungen oder Verbindungsversuche aufgezeichnet werden, die einen Angriff darstellen und die zum Erkennen eines potentiellen Angriff erforderlich sind.
Empfehlung! Jede Protokollierung ist so auszugestalten, daß unter Wahrung des Zwecks ein datenschutzrechtlicher Mißbrauch vermieden wird, d.h.:
  • der Umfang der Protokolle sollte im Rahmen des Möglichen minimal sein,
  • Protokolle sind durch Zugriffsmaßnahmen gegen unbefugte Kenntnisnahme zu sichern,
  • es sind technisch-organisatorische Auswertungsverfahren festzulegen,
  • es sind möglichst kurze Löschfristen vorzusehen.
Empfehlung! Bei Inhaltskontrollen übertragener Daten (z.B. zum Zweck der Virenkontrolle) sind bereichsspezifische Regelungen und vertragliche Vereinbarungen zu beachten.
Empfehlung! Bei Datenübertragung für Dritte sind Inhaltskontrollen nur im Auftrag bzw. mit der Einwilligung des Betroffenen [5] zulässig, wobei dem Auftraggeber (z.B. beim Outsourcing) Gestaltungsmöglichkeiten hinsichtlich folgender Aspekte einzuräumen sind:
  • Nutzung bzw. Umfang der Inhaltskontrolle,
  • technische und organisatorische Folgen bei ausgefilterten Nachrichten.
Empfehlung! Bei Inhaltskontrollen ist insgesamt der Eingriff in das Fernmeldegeheimnis und in das Recht auf informationelle Selbstbestimmung möglichst zu minimieren, d.h.:
  • weitgehend automatisierte Kontrolle, ohne regelmäßige Kenntnisnahme des Kontrollvorgangs oder -ergebnisses durch Administratoren o.ä.,
  • Begrenzung des Inhalts-Scanning auf fest definierte Pattern (Virensignaturen) und Ausschluß des Scannings nach frei wählbaren Textstellen,
  • Aufklärung und Weiterverwendung bei gefundenen Schadnachrichten nur unter Beteiligung oder nach Rücksprache mit dem Betroffenen.

Seitenanfang
5. Ausblick Zum Ausblick
 Letzte Änderung:
 am 22.02.1999
E-Mail an den Webmaster