1992/12/31 Datenschutz im Zeitalter offener und verteilter Systeme
DIR Plädoyer für ein integriertes Sicherheitskonzept
...
Plädoyer für ein integriertes Sicherheitskonzept
Im Zeitalter verteilter und vernetzter Systeme, müssen EDV-Lösungen verkehrsfähig werden. Damit müssen Sicherheitsfunktionen auf allen Ebenen vorgesehen werden. Trennungen zwischen Operating, Programmierung, Betriebssystemebene und Applikationsebene, sofern sie überhaupt in der reinen Formexistierten, lassen sich immer weniger durchhalten. Organisationsanweisungen sind - weil unüberprüfbar (undurchsetzbar, unfinanzierbar) - sinnlos. Einzellösungen, wie zusätzliche Zugangssperren, sind, weil umgehbar, vielfach kontraproduktiv. Sie täuschen eine Sicherheit vor, die nicht existiert.Klassische Methoden der "Bunkerung" des DV-Betriebs wiedersprechen meist dem modernen Firmenimage, Ausfalls-Rechnerlösungen oder Versicherungen helfen nicht, Schäden zu vermeiden und sind bei dezentralen Systemen nicht administrierbar.
Stellen Sie sich vor, Sie interessieren sich für ein Auto: Technische Daten, Verbrauch und Komfort entsprechend.
Im anschließenden Gespräch empfiehlt Ihnen der Verkäufer folgende organisatorischen Maßnahmen:
Beginn Kasten
"Scheinwerfer?" - "Extra! Fahren Sie doch nur am Tag!"
"Scheibenwischer?" - "Extra! Fahren Sie nicht bei Regen!"
"Windschutzscheibe?" - Extra! Halten Sie die Augen halb geschlossen,
dann stört der Fahrtwind nicht."
"Dach?" - Extra! Fahren Sie nur an schönen Tagen!"
"Schloß?" - Extra! Stellen Sie ihn in der Garage ab!"
"Gurte?" - Extra! Sie sind doch ein sicherer Fahrer!"
"Fahrtrichtungsanzeiger?" - Extra! Halten Sie doch die Hand hinaus,
das kühlt angenehm."
"Bremslichter?" - Extra! Sie sollten sowieso nicht zu rasch bremsen,
das schadet der Radaufhängung."
"Nebelscheinwerfer?" - Extra! Die Wissenschaft ist sich sowieso uneins,
ob diese vorteilhaft sind."
Ende Kasten
Im Normalfall werden Sie auf dieses Modell verzichten. Zu offensichtlich sind die Sicherheitsmängel. Möglicherweise sind Sie aber mit den organisatorischen Einschränkungen einverstanden. Sie werden so ein Auto auch kaufen können. Sie werden es aber niemals schaffen, daß Sie sich mit diesem Auto auföffentlichen Verkehrsflächen bewegen dürfen.
Bei EDV-Lösungen finden wir immer wieder die Situation, daß ein System zwar hochgezüchtete sachspezifische Leistungsmerkmale aufweist, aber nicht die geringsten Sicherheitsfunktionen enthält. Diese werden entweder aus Unkenntnis der Hersteller vergessen oder sie fehlen aus Bequemlichkeit. DerSystemanbieter verläßt sich darauf, daß die Applikationen für die Sicherheit sorgen werden. Der Applikationshersteller verläßt sich darauf, daß der RZ-Betrieb entsprechend organisiert wird. Der RZ-Betreiber wartet auf die Unterstützung des Systemanbieters, usw. usf. "Aufpassen" wird zumSicherheitskonzept Nr. 1.
I. Was ist Datensicherheit/Datenschutz?
Trotz immenser Literatur und einer eigenen DV-Sicherheitsindustrie herrscht bei diesem Begriffskomplex Unklarheit. Sicherheit bedeutet unter anderem:
Abwesenheit von (System/Programm)-Fehlern
Störungsresistenz (gegen Bedienungsfehler, Katastrophen, ..)
Adäquatheit der DV-Lösung
Erhaltung der Vertraulichkeit
Erhaltung der Datenintegrität
Erhaltung der Funktionalität
Vielfach wird Sicherheit unter rein juristische/kriminelle Dimensionen betrachtet. Damit wird das Sicherheitsproblem auf ein Bedrohungsproblem durch den "äußeren" Feind (inkl. "5. Kolonne") reduziert. Der Umfang der Computerkriminalität zeigt folgende Zahlen:
BRD91: 3963 Geldausgabe-Manipulationen
787 Computerbetrug
82 Fälschung von Computerdaten
95 Verändern von Computerdaten/ Computersabotage
77 Illegale Datennutzung ("Hacken")
NL89: 15 Computerbetrug
9 Hacker
11 Virenbefall
4 andere Formen der Computerbe- schädigung
3 Raubkopien
4 Andere Fälle der Computerkrimi- nalität
J88: 1 Zerstörung HW
12 Verfälschung von Daten
1 Daten/Programmdiebstahl
1122 Geldausgabe-Manipulationen
In Österreich steht der Kriminalitätsindex seit 1986 bei 32 Fällen (insgesamt, nicht im Jahr). So gesehen hat Österreich die sichersten EDV-Systeme der Welt. Oder?
Diese Zahl kann nicht als Fehlen krimineller Aktivitäten, sondern nur als Fehlen geeigneter Nachweisverfahren interpretiert werden. Tatsächlich existiert ein langdauernder Kompetenzstreit zwischen Wirtschaftspolizei und Kriminalpolizei.
Es ist eine Neudefinition des Begriffs Sicherheit notwendig, der Aspekte
der Datenintegrität (integrity),
der Qualitätssicherung (quality),
des Datenschutzes (privacy),
des Urheberschutzes (copyright) und auch
der Gefahrenabwehr (security/safety)
gleichermaßen beinhaltet. In diesem Sinn wird Sicherheit in der EDV zur Forderung professioneller Systemgestaltung.
Beispiel
Das Datenintegritätsproblem bei einer großen österreichischen Organisation: Die ARGE DATEN ist mit dieser Stelle über sieben Geschäftsbereiche verbunden, zwei dieser Bereiche sind nicht automationsunterstützt und fallen daher bei der Betrachtung weg. In den diversen Kundenverzeichnissen wird dieARGE DATEN einmal als ARGE DATEN Österreich und einmal als ARGE DATEN-Österreichische Ges f Datenschutz und einmal schlicht mit ARGE DATEN geführt. Die Rechnungen werden für ARGE DATEN Ges.fDatenschutz, ARGE DATEN GesmbH, ARGE DATENTECHNIK oder wiederum schlicht für ARGE DATEN ausgestellt.
Glauben Sie nicht, wir hätten nicht versucht die verschiedenen Angaben zu korrigieren! Ein leitender Mitarbeiter dieser Organisation erklärte uns, daß es für den Kunden völlig aussichtslos sei, zu versuchen, diese falschen Daten zu korrigieren. Als Grund nannte er die Existenz von dutzenden regionalund thematisch getrennten Kundendatenbanken, die wiederum von unterschiedlichen Abteilungen nach unterschiedlichen Rhythmen gewartet werden. Selbst intern sei nicht nachvollziehbar, wer welche Kunden in welchem Umfang verwaltet.
Datenschutzprobleme vs. Datensicherheit
Datenschutz (= "Privacy") im engeren Sinn kann als Sicherung der freien Entscheidung des Menschen definiert werden, wer welche Information über meine Person erhält. Datenschutz bedeutet damit die Sicherung der Menschen vor einem Übermaß an Datenerhebungen. Basis des Datenschutzes ist die EMRK Art.8. Hier sind auch die wesentlichen Einschränkungen des Datenschutzes formuliert.
Datensicherheit kann als Sicherung der Daten vor unerwünschten, willkürlichen oder unerlaubten Eingriffen verstanden werden. Datensicherheit bedeutet die Sicherung der Daten vor einer vielfach feindlichen Umwelt.
II. Lösungsansätze zum Sicherheitsproblem
Rechtlich/organisatorische Lösungen
Mit der Verabschiedung verschiedener "Datenschutzgesetze" in den 70-er Jahren wurde ein Meilenstein in der informationellen Rechtsentwicklung erreicht. Es wurde versucht auf die Entwicklung der Informationstechnik legistisch zu reagieren. Damit sollte dem Qualitätssprung in derInformationsverarbeitung Rechnung getragen werden.
Seither sind mehrere Wellen von ad-hoc-Regelungen erkennbar:
a) 70-er Jahre: Enstehung von Privacy-Regelungen (Österreich: 1978)
b) Beginn 80-er Jahre: Regelung der Computerkriminalität (Ö: 1987)
c) Ende 80-er Jahre: Urheberrechtliche Regelungen (Ö: 1992?)
ad a) Schutzwürdiger Personenkreis: Personen, über die Daten verarbeitet werden.
Potentielle Tätergruppe: Datenverarbeiter.
DV-spezifisches Deliktobjekt: personenbezoge- ne Datenbanken.
ad b) Schutzwürdiger Personenkreis: Datenverarbeiter.
Potentielle Tätergruppe: beliebige Personen aus dem internen bzw. externen Umfeld des Datenverarbeiters. Angesichts der Viren-Problematik heute auf beliebige Personen zu erweitern.
DV-spezifisches Deliktobjekt: beliebige HW, SW und Kommunikationseinrichtungen, DV-Gebäude.
ad c) Schutzwürdiger Personenkreis: Programm/Systemerzeuger.
DV-spezifisches Deliktobjekt: Programme.
Auffällig das Fehlen einer allgemeinen Theorie des Informationsrechts. Tatsächlich haben die jeweiligen (ambitionierten) Gesetzesvorhaben mit der technischen Entwicklung nicht Schritt gehalten.
Technische Lösungen
Für RZ-interne Problemstellungen sind eine Fülle von Lösungshilfen verfügbar: Zugangskontrollen (HW/SW), Sicherungen vor Datenverlust, vor unerwünschten Datenentnahme und für Revision/Protokollierungsaufgaben (Datenverwendung). Im Bereich der Kleinsysteme ist das Fehlen von integrierten Lösungen zuerkennen. Manche Staaten schreiben für bestimmte sensible Bereiche die Einhaltung von bestimmten Standards vor (z.B. Banken/Großbritannien, Banken/USA/ANSI X9.17 und X9.9 oder viele Länder für personenbezogene Daten).
Ethische Lösungen
In Europa relativ fremd, in USA weiter verbreitet. Es existieren eine Reihe von Initiativen: "CPSR - Computer Professional for Social Responsibility", "EUDUCOM Software Initiative".
Im Zentrum einer geeigneten "ethischen" Schulung muß die Fähigkeit des DV-Anwenders stehen, Interessenskonflikte, die durch seine EDV-Nutzung auftreten, zu erkennen, an geeigneter Stelle zur Sprache bringen (Sicherheits-Supervision) und lösen zu können.
Die österreichische Situation
In Österreich herrscht eine Vorliebe für legistisch-bürokratische Lösungen:
Musterbeispiel Par. 10 DSG
Registrieren von Datenverarbeitungen
Genehmigen von Betriebsordnungen bei öffentlichen Rechenzentren (mit Novelle '86 gefallen)
Erlassen von Datenschutzverordnungen der öffentlichen Stellen (Ministerien, Länder, ...)
Der legistisch-bürokratische Ansatz steckt heute - auch international gesehen - in der Krise. Bezüglich des Entwurfs zur EG-Richtlinie Datenschutz finden wir eine interessante Koalition der Anhänger der völlig freien Marktwirtschaft und der Konsumentenschützer, die diesen Entwurf als "bürokratisch"und völlig ineffizient ablehnen. Mittelfristig wird es zu einem vollständigen Ersatz des DSG kommen.
Probleme des klassischen Datenschutzes
Gerade die klassische Idee des Datenschutz, wie sie im öDSG formuliert ist, ist von drei Seiten gefährdet:
Vages Rechtsgut: Trotz aller Bestrebungen ist es nicht gelungen, eine allgemein gültige Theorie zum Datenschutz zu finden. Weder die Sphärentheorie, die Mosaiktheorie oder der Registrierungs-/Aufsichtsansatz haben sich als tauglich erwiesen. Die Bestimmung von sensiblen bzw. nicht sensiblen Datenist ebensowenig geglückt, wie die Herstellung wirksamer Betroffenenrechte. Vermutlich sind die EDV-Anwendungen in ihren Problem- und Bedrohungspotentialen viel zu unterschiedlich, um sie in eine einheitliche Theorie fassen zu können.
Widerstrebende Interessen: Die Verfolgung von Datenschutzinteressen (Privacy-Interessen) kann in Konflikt zu anderen legitimen Interessen kommen. Das DSG kennt nur einen Konflikt, die Kollision mit den Datenschutzinteressen Dritter. Tatsächlich werden täglich eine Reihe weiterer Konflikteausgetragen:
Informationsfreiheit (FOIA), Pressefreiheit vs. DS
Effektivität der Verwaltung vs. DS
Produkthaftung, Konsumentenschutz vs. DS
Freiheit des Waren- und Dienstleistungsverkehrs vs. DS
Gläubigerschutz vs. DS
Senkung der Informationskosten vs. DS
Einfachheit der Bedienung von DV-Einrichtungen vs. DS
Fehlen des Unrechtsbewußtseins: Datenschutzverletzungen erfolgen im Normalfall nicht als bewußte Verletzung der Interessen von Betroffenen, sondern durch die scheinbar legitime Verfolgung der Interessen des Datenverarbeiters. Die Datenschutzverletzung erfolgt im Regelfall nicht mitSchadensabsicht.
Aufgrund der vielfältigen Schwierigkeiten wird heute erwogen, den bisherigen Regelungsansatz DATENSCHUTZ (wer darf, in möglichst allgemeiner Form formuliert, was mit welchen Daten machen) durch ein Mißbrauchsmodell zu ersetzen. Es sollen klar umrissene Tatbilder geschaffen werden, die die Schädigungvon Betroffenen durch Informationsmißbrauch charakterisieren. Diese Tatbilder werden unter strenge Strafe gestellt, ansonsten dürfen Datenverarbeiter das tun, was sie für richtig halten.
III. Die Sicherheitslösung in der klassischen EDV
In konventionellen DV-Systemen stehen dem Benutzer innerhalb definierter Applikationen bestimmte Funktionen zur Verfügung. Der "Auftraggeber" im Sinne des DSG legt fest, wer was mit welchen Daten wann, unter welchen Bedingungen tun darf. Das EDV-System verhält sich im Sinne eines Gerätes,vergleichbar einem Buchungsautomaten, mit klar definierten Funktionen. Die gesamte Steuerung und Kontrolle der Benutzeraktivitäten erfolgt über eine EDV-Zentrale.
Die Flexibilität des EDV-Systems darf nur von den Programmierern genutzt werden. Alle Datenverarbeitungsfunktionen bedürfen einer programmtechnischen Realisierung, wobei im Normalfall zwischen Auftraggeber im engeren Sinn (z.B. Geschäftsführung), Programmierer und Benutzer (Referenten) unterschiedenwird. Die Geschäftsführung verfolgt mit einer Datenverarbeitung bestimmte Ziele, kennt jedoch weder die einzelnen Daten, noch die Programme im Detail, der Programmierer kennt im Regelfall nicht die Daten, der Referent nicht die Programme.
Um das Ziel (= Zweck im Sinne des DSG) zu erreichen, ist zwangsläufig ein Kommunikationsprozeß zwischen Geschäftsführung, Programmierer und Referenten notwendig. Die gesetzlichen Sicherheitsbestimmungen versuchen diesen Kommunikationsprozeß zu formalisieren und in eine legistische Form zu gießen.Tatsächlich gibt es eine Reihe anderer Gründe, um diesen Kommunikationsprozeß zu formalisieren: Klarheit der EDV-Lösungen, Qualität der entstehenden Software, Definition der Haftung, Sicherung vor Mißverständnissen, ... Die Sicherheitsbestimmungen des DSG entpuppen sich als Trittbrettfahrerureigener interner DV-Interessen.
Klassische Sicherheitsprobleme
Zugang zum Rechenzentrum
Zugriff auf Applikationsfunktion
Trennung der Applikationen untereinander und zum Betriebssystem
Sicherung der Datenbestände
Vorbeugung vor Katastrophen und deliktischen Eingriffen
Unterbindung der Einbringung von nicht-autorisierten Programmen und Geräten
Erhaltung der Transparenz
Diese Probleme sind/waren aus Anwendersicht fast durchwegs irrelevant (Ausnahme: Verwaltung des Zugriffs auf Applikationsfunktionen). Von den Sicherheitsproblemen war immer nur der relativ kleine Kreis der direkten EDV-Mitarbeiter betroffen (Programmierer, Operator, Wartungstechniker). SonstigeMitarbeiter, Kunden, Klienten, Besucher konnten gleichermaßen als externe (Gefahren)Faktoren eingestuft werden.
Überschaubare Zahl von Interessenskonflikten
a) Autorisierter Benutzer soll leicht, nicht-autorisierter Benutzer keinen Zugang zu Applikationsfunktionen haben.
b) Operator/Wartungstechniker/... soll übertragene Aufgaben ohne Behinderungen durchführen können, nicht übertragene Aufgaben jedoch nicht wahrnehmen können.
c) Externe Faktoren werden generell als Störung verstanden, diese Einflüsse (natürlicher oder deliktischer Art) sollen generell unterbunden werden, zum Beispiel auch die Kreativität der Endbenutzer.
d) Der Interessenskonflikt zwischen Benutzer der Daten und Betroffenen der Daten wurde im Regelfall übersehen/negiert.
Simple Sicherheitslösungen
1) Eine räumliche Einheit (Rechenzentrum) war nach einem Zwiebelschalenmodell abzuschoten.
2) Der Personenverkehr war auf ein Minimum zu reduzieren und zu kontrollieren.
3) DV-Funktionen durften nur im Rahmen (schriftlicher) Aufträge wahrgenommen werden. Es existierten klare Funktionstrennungen (Operator/Wartung/Programmierer). Sensible Funktionen wurden nach dem 4-Augen-Prinzip durchgeführt.
4) Daten konnten nur über (relativ) klar definierte Schnittstellen in das System eingegeben, verarbeitet und ausgegeben/übermittelt werden. Gegen "abschreiben" usw. war man nach herrschender Lehre sowieso machtlos. Die Datenverarbeitungsvorgänge waren, je nach Sensibilität, zu protokollieren.
5) Für Katastrophen stand ein Ausweich-RZ zur Verfügung.
6) Restrisken wurden durch Versicherung abgedeckt.
Tatsächlich bestand in den Anfängen des DSG die Vorstellung, ein Handbuch zu verfassen, das die genannten Punkte jeweils ausführlich in Prosa kommentierte (siehe DSG Par. 10 Abs. 3). Für den öffentlichen Bereich war sogar die Genehmigung dieses Handbuchs durch die DSK vorgesehen. Eine bürokratischeSchikane, die 1986 abgeschafft wurde.
Die Sicherheitsvorstellungen aus dem DSG bzw. BDSG sind seit rund 15 Jahren praktisch unverändert. Sie stammen in Österreich aus einer Zeit, in der es laut Statistischen Zentralamt 223 personenbezogene Datenverarbeitungen gab (1975), in denen praktisch nur der Batch-Betrieb vorstellbar war und inder ein "gemütliches" Wachstum der EDV-Branche prognostiziert wurde (bis 130.000 EDV-Anlagen im Jahre 1990 in ganz Europa). Tatsächlich ist mit dem Einsatz von PC's und deren Vernetzung die Zahl der kommerziell genutzten Computer auf rund 500.000 gestiegen (allein in Österreich), beträgt die Zahlder registrierten Datenverarbeiter rund 62.000.
Es muß heute jedem Datenverarbeiter bewußt sein, daß einfache Referenten komplexe Datenbankanfragen formulieren können und dadurch neue Informationen generieren können.
Beispiele: Erstellung von Rechercheprofilen zur Identifizierung von Risikopatienten, Risikoversicherungsnehmern, Risikobankkunden, Risikoverkehrsteilnehmern, Risikostraftätern, .... Ein durchschnittlich organisiertes elektronisches Archiv einer Zeitung erlaubt bessere Einblicke in die politischen,wirtschaftlichen und gesellschaftlichen personellen Verknüpfungen als noch so penibel geführte klassische Archive oder auch klassisch programmierte Karteien privater oder staatlicher Observer-"Dienste".
Die im DSG genannten "Prinzipien" und "Kontrollen" sind in einem hohen Ausmaß Leer-Formulierungen, denen jeder zustimmen wird, die den schlampigen Datenverarbeiter zu nichts verpflichten, die jedoch den wohlmeinenden Datenverarbeiter ratlos stehen lassen. Auffällig sind negative Formulierungen, wasalles zu verhindern sei, was fehlt sind "positive" Vorgaben, was durch ein Datenschutz-/Datensicherheitskonzept zu bewirken ist.
IV. Die Sicherheitslösung bei dezentralen Systemen
Dezentrale Systeme sind gekennzeichnet durch die Auslagerung von DV-Ressourcen von Zentralsystemen, bei gleichzeitiger Übertragung von Teilen der Entwicklungs- und Programmierungsverantwortung an den Endbenutzer (Fachreferenten).
Dezentrale Systeme stellen den Benutzern informationstechnische Werkzeuge zur Verfügung. Dies steht im Gegensatz zu den fix programmierten Funktionen der klassischen EDV. Abhängig vom Geschick des Benutzers entstehen daraus mehr oder minder umfangreiche (temporäre) Applikationen.
Flexible Informationswerkzeuge (Datenbankabfragesprachen, Statistikpakete und 4GL-Sprachen) führen zu fast unbegrenzten Verwertungsmöglichkeiten der Daten. Ebenso werden nicht mehr Einzeldaten angezeigt oder ausgedruckt, sondern Datencluster zur Weiterbearbeitung zwischen Client und Serverübergeben.
Interaktiv, ohne umständlich Programmierer bemühen zu müssen, besteht für Referenten, Geschäftsführer, Kunden, Klienten und Gäste die Möglichkeit, willkürliche Auswertungen von Datenbeständen durchzuführen, neue Datenstrukturen zu generieren, durch Verknüpfen mit anderen Beständen diese mitzusätzlichen Daten anzureichern.
Beispiel: Textverarbeitung
Übliche Textverarbeitungsdateien fallen nicht unter die Bestimmungen des DSG, da die gezielte Retrievalfähigkeit nach Personen nicht gegeben ist. Relativ billige und simple PC-Tools erlauben es jedoch, gegebene Bestände, oft aus verschiedenen Programmen (Textverarbeitung, Datenbankprogramm,Tabellenkalkulation) zu indexieren und retrievalfähig zu machen. Damit wird aus simplen Text-Dateien (nicht unter das DSG fallend) eine zwar primitive, aber wirkungsvolle Volltextdatenbank. Diese Indexierungen können jederzeit, nachträglich und ohne Wissen des Datei-Eigners, im Hintergrunderfolgen.
Jene charakteristischen EDV-Funktionen, um deren Willen neue Systeme angeschafft wurden, werden zum größten Hindernis bei der Überwachung der Einhaltung der Datensicherheits-/Datenschutzbestimmungen:
a) Flexibilität der Daten: Daten sind leicht kopierbar und veränderbar, per Datenleitung leicht übertragbar und universell einsetzbar. Daten, die aus einem genehmigten System gewonnen wurden, können rasch - außer Haus - mittels anderer Programme völlig neu verwertet werden.
b) Modularer Aufbau und Adaptivität von Programmen: Begonnen wird mit einfachen Kartei- und Buchhaltungsprogrammen. Durch laufenden Zukauf weiterer Systeme und Utilities und durch Eigenadaptionen entstehen rasch unerwünschte Datenverwendungen.
c) Vielfalt der Funktionen/Unanschaulichkeit der Systeme: Gerade bei Netzwerken mit verteilter Rechnerleistung ist nicht sofort erkennbar, welche (versteckten) Funktionen sie enthalten.
Daraus ergeben sich neue Sicherheitsprobleme (zusätzlich zu den bestehenden alten):
allgegenwärtige Verfügbarkeit der dezentralen HW- und SW-Ressourcen
allgegenwärtige Verfügbarkeit der dezentralen Daten
fehlende klare Aufgabentrennungen (z.B. "niemand" ist für Backup verantwortlich, klassische Backup-Methoden, wie zyklische Sicherung und azyklische Auslagerung sind schlicht unbekannt)
Fehlen definierter Applikationsfunktionen, diese entstehen oft erst in der Tagesarbeit
Grenzen zwischen Programmierung und Betrieb verschwinden (Phasenmodelle werden obsolet)
Aufhebung örtlicher Bindungen (z.B. tragbare PC's für den Außendienstmitarbeiter), selbst der autorisierte DV-Benutzer ist dem Netzwerkbetreiber unbekannt
wesentlich umfassendere Benutzerbefugnisse
potentiell unüberschaubare Zahl von Benutzern
potentiell unüberschaubare Zahl von Zugangskanälen
großer Umfang an (impliziten) Datenübertragungen
Vielfalt der Nutzungsmöglichkeiten
neue DV-Anwendungen (Volltext-Datenbanken)
laufende Änderung des Verwendungszwecks der gesammelten Daten
Entstehen einer Vielzahl neuer Datenverarbeitungen (i.S. des DSG)
Zum klassischen EDV-Personal und dem klassichen EDV-Anwender (DAST-Abfrager) kommt eine Fülle unterschiedlicher EDV-Anwender, teilweise Mitarbeiter des Unternehmens, teilweise Kunden, Klienten oder Gäste. Das DSG kennt etwa nur die Belehrungspflicht der Mitarbeiter.
Neue, unerkannte Interessenskonflikte
Sicherheitsprobleme entstehen dort, wo Interessenskonflikte existieren. Die Sicherheitsprobleme lassen sich nur lösen, wenn die entsprechenden Interessenskonflikte erkannt und auf eine neue Ebene "gehoben" werden. Viele Sicherheitsprobleme im dezentralen DV-Betrieb sind auf Interessenkollisionenrivalisierender Abteilungen zurückzuführen. Bei zentralen DV-Strukturen können diese Kollisionen noch durch die Geschäftsführung zugedeckt werden, indem sie sich auf die Seite des RZ oder der Fachabteilungen schlägt. In dezentralen Strukturen, in der jede Abteilung "RZ" und Fachabteilung ist, müssen"die Hosen runter".
So kann die Unternehmensphilosophie der offenen Geschäftsbereiche/Kundenbereiche (etwa im Filialbetrieb einer Bank) mit den klassischen Vorstellungen der Datensicherheitsleute kollidieren, die abgeschlossene und nicht allgemein zugängliche Standorte für Bildschirme benötigen.
Der Wunsch, dem potentiellen Kunden (Versicherungsnehmer) alle Vertragsvarianten vor Ort vorzurechnen (mittels Laptop) kann mit den klassischen Sicherheitsvorstellungen kollidieren, daß Unternehmensdaten nicht außer Haus zu gehen haben.
Der klassische Nutzer eines dezentralen Netzwerks ist durch ein Mehr an DV-Befugnissen und ein Weniger an DV-spezifischen Fertigkeiten gekennzeichnet. Wichtige Funktionen (Netzwerk/Systemadministration, Datensicherung, Paßwortvergabe, Prüfung von Protokollen, Durchführung von Wiederanlaufmaßnahmen,Start/Stop von Systemen) werden nebenbei von den gerade anwesenden Mitarbeitern erledigt. Die dazu notwendigen Befugnisse sind rasch abteilungsweit bekannt.
Sicherheitsmechanismen kehren sich in dezentralen Systemen in ihr Gegenteil: Es kann ein System, das in einem geschützten DV-Bereich betrieben wird und für viele Verwaltungsfunktionen spezifische Befugnisse eines Administrators benötigt, als relativ manipulationssicher eingestuft werden. Genauumgekehrt ist es in Abteilungsnetzen, wo es keinen speziellen Administrator gibt. Werden hier für viele Funktionen spezifische Berechtigungen benötigt, dann sind diese bald allen bekannt und verlieren somit ihre Sicherheitsrelevanz.
Neben den, im Zentralbetrieb weitgehend gelösten, Sicherheitsproblemen Identifizierung/Authentisierung und Datensicherung (i.S. des Backups), die sich in Netzwerken neu stellen, ergibt sich bei dezentralen Systemen verstärkt das Problem des Erkennens von Sicherheitsproblemen. Aufgrund derKomplexität der Netzwerke bleiben Sicherheitslücken vielfach unerkannt.
4-Stufenmodell zur Sicherheit
Stufe A. Sicherheits-Grundfunktionen, z.B. Definition von Grundfunktionen, die als integraler Teil der Software einen sicheren EDV-Betrieb gewährleisten.
(a) Identifikation und Authentisierung
(b) Rechteverwaltung
(c) Rechteprüfung
(d) Beweissicherung
(e) Wiederaufbereitung des DV-Systems
(f) Generationsverwaltung der Daten
(g) Fehlererkennung/Fehlerüberbrückung
(h) Gewährleistung der Funktionalität
(i) Übertragungssicherheit
(j) Auskunftsfunktion DSG
(k) Bestreitungsfunktion DSG
(l) Herkunftsfunktion DSG
(m) Weitergabefunktion DSG
(n) Erhaltung der Transparenz
(o) Erhaltung der Datenintegrität/-qualität
(p) Dokumentation
Stufe B. Sicherheitsklassen/Sensibilitätsstufen
Bündelung der Funktionen + Festlegung ihres Ausprägungumfangs. Bei den Sicherheitsklassen kann es sich um hierarchische Klassen handeln, die für Systeme mit wachsender Sensibilität eingesetzt werden oder auch um spezifische, technisch oder organisatorisch motivierte Klassen, wie z.B. für DV-Systemeüber öffentliche Telekommunikationseinrichtungen (Home-Banking BTX) oder dezentrale Systeme mit potentiell unüberblickbarer Nutzerzahl (Bankomat) oder für wissenschaftliche Informationsnetzwerke usw.
Stufe C. Qualitätsstufen
Definition der Qualitätsmerkmale:
Qualität der Sicherheitsanforderungen
Qualität der Spezifikation
Qualität der Mechanismen
Qualität der Abgrenzung
Qualität des Herstellungsvorganges
Betriebsqualität
Qualität der Dokumentation
Stufe D. Abgrenzungsfragen
Festlegung, welcher Bereich eines DV-Systems als Einheit mit integrierten Sicherheitsfunktionen zu betrachten ist und wie diese Einheit von anderen Bereichen abgegrenzt werden kann.
V. Datenschutz/Datensicherheit in modernen EDV-Netzwerken
Sicherheitsprobleme werden in der Qualität verändert (offene RZ's statt geschlossene, virtuelle Schutzräume statt territorialer) und sie werden in der Zahl vervielfacht (Beispiele: Backup, HW-Zoo, leistungsstarke Anwenderwerkzeuge), trotzdem führt kein Weg an der Dezentralisierung vorbei.
Neue Prüfungsansätze von EDV-Systemen notwendig
Modell A (bisheriges Modell): Tätersuche
Die legistischen Bestimmungen werden formal eingehalten, einige Sicherheitsfunktionen, die auch dem Budgetverantwortlichen Verständlich sind, realisiert (Türschlößer, Brandschutzanlage und Alibi-Backups). Nun besteht der Verdacht, daß etwas passiert ist, wer war's? Im Normalfall ergebnislosesUnterfangen, wie die Kriminalitätsraten in Österreich zeugen.
Modell B: Schwachstellenanalyse und Organisationsrichtlinie
Der faktische Status quo wird auf Mängel überprüft. Allfällige Mängel werden durch entsprechende Weisungen (Organisationsrichtlinien) ausgeschalten. Damit können nur lokale bzw. begrenzte Mängel innerhalb einer Lösung identifiziert werden (vergleichbar: Aufstellen von Verkehrsschildern beiunfallträchtigen Stellen). Der für Österreich sicherlich fortgeschrittenste Ansatz, auch als Systemanalyse oder Revisionsansatz bezeichnet.
Modell C: Spezifikation und Zulassung
Bei der Entwicklung hausinterner Systeme bzw. bei der Beschaffung von Standardpaketen bekommen Sicherheitsfunktionen einen festen Platz. Die Abnahme derartiger Systeme erfolgt zur Evaluierung der Sicherheitsfunktionen. Umfang und Qualität der Sicherheitsfunktionen werden vorher definiert und denAufgabenstellungen angepaßt. Dieses Modell ist in Österreich derzeit fremd.
Im Modell C ist Datenschutz/Datensicherheit untrennbar mit dem Begriff der Qualitätssicherung verbunden. Erst wenn akzeptiert wird, daß EDV-Produkte (speziell SW) einer minimalen integrierten Sicherheitsausstattung bedürfen, wird sich im Bereich Sicherheit grundsätzliches ändern.
Systematische Identifikation von Interessenskonflikten
Zwischen:
Herstellern/Lieferanten von DV-Systemen (HW/SW) und DV-Benutzern,
innerhalb des DV-Nutzers (Abteilungsprobleme, Zentrale/Filiale-Probleme),
zwischen DV-Nutzern und Dienstleistern (z.B. Bereitstellern von Telekommunikationseinrichtungen),
DV-Benutzern und Betroffenen von EDV-Anwendungen,
Kostenproblem (Dezentrale Systeme werden meist aus Kostenüberlegungen heraus beschafft, klassische DS-Maßnahmen sind personalintensiv und haben daher einen hohen Fixkostenanteil),
Generationskonflikt (kurze Wissenshalbwertszeit bei EDV).
Begleitende Maßnahmen
(a) Zielvorgaben durch den Gesetzgeber notwendig. Integrierte DS-Maßnahmen kosten Geld, ohne Unterstützung des Gesetzgebers führt deren Einsatz zu Wettbewerbsverzerrungen. Dies bedeutet die verbindliche Vorschreibung gewisser Sicherheitsstandards (ISO oder ANSI) und die Erfüllung gewisserSicherheitsgrundfunktionen (festgelegt in einem "coloured book"). Dies bedeutet auch die Schaffung eines minimalen Informationsrechts, das die wichtigsten Interessenskonflikte der Datenverarbeitung reguliert.
(b) Schaffung einer herstellerunabhängigen Typisierungs-/Evaluationsstelle für Sicherheitsfragen (vergleichbar der BSI in Deutschland).
(c) Förderung typisierter/evaluierter Systeme.
Dies kann z.B. durch Nachlässe bei Versicherungen, Bevorzugung bei öffentlichen Ausschreibungen, ... erfolgen.
(d) Tiefgreifender Aufgabenwandel in den DV-Abteilungen notwendig
Evaluationsstelle von Standardpaketen statt Individualprogrammierung
Evaluationsstelle für Sicherheitsfragen (unter Einbeziehung der unter (2) genannten Typisierungsstelle)
Entwicklung eines betrieblichen Informations- und Sicherheitsmodells, das folgende Fragen beantwortet:
Wo entsteht Information? Wie entsteht Information?
Wie wird diese Information gepflegt?
Wer erhält Zugang?
Welche Sicherheitsgrundfunktionen werden in welchem Umfang realisiert? Schaffung von unternehmensweiten Funktionalitätsklassen.
Schluß
Dezentraler EDV-Einsatz muß zu verstärkter zentraler Kontrolle auf einer neuen, noch zu definierenden Meta-Ebene führen. Nicht mehr der individuelle Zugang zu einzelnen Daten wird überwacht werden (wie noch in den Sicherheitsbestimmungen des BDSG und DSG vorgesehen), sondern die Aufrechterhaltungvon Sicherheitsgrundfunktionen, deren Schwachstellenanalyse und deren laufende Verbesserung.
Die Anwendung von Endbenutzer-Werkzeugen ist von der "Programmierung" der Werkzeuge nicht mehr unterscheidbar. Programmierungsphasen und Einsatzphasen sind in dezentralen Systemen nicht mehr trennbar. Damit sind Phasenmodelle obsolet.
Dies bedeutet die Ausdehnung der Qualitätssicherung auf den gesamten Anwendungszyklus von DV-Systemen. Die klassische Trennung von Qualitätssicherung als Herstellungsprüfung in der Programmierungsphase und der Datensicherung als Betriebssicherung in der Anwendungsphase, ist nicht mehraufrechtzuerhalten.
Datensicherheit muß zu einem integrierten Qualitätsmerkmal des Entwicklungs- und Anwendungsprozesses von DV-Systemen werden.
|
