1994/12/31 Gibt es eine österreichische IT-Sicherheitspolitik?
Hans G. Zeger
IT-Sicherheitspolitik ist international durch das Bestreben der Vereinheitlichung von Zertifizierungs- und Evaluationsverfahren gekennzeichnet. Diese Verfahren gewinnen gerade in Hinblick auf die angestrebte umfassende Interoperabilität verschiedenster IT-Systeme wachsende Bedeutung.
ä Innerhalb der EU wird der fehlende sicherheitspolitsche Konsens als ein Hemmnis des freien Informationsverkehrs, als Handelshemmnis und als Hemmnis in der Erringung neuer Märkte angesehen. Es existieren einige Bemühungen, die Rahmenbedingungen zu einer einheitlichen Sicherheitspolitik zuverbessern. Diese Bemühungen stagnieren jedoch seit mehreren Jahren.
ä Eine einheitliche österreichische Sicherheitspolitik fehlt (noch). Aktivitäten österreichischer Vertreter in den entsprechenden EU-Gremien (1)# erreichen nicht die (interessierte) Fach-Öffentlichkeit.
ä Im öffentlichen Bereich ist die Frage der IT-Sicherheit durch vorschnelle Delegierungen (2)#, stark bürokratischem Charakter (3)# und durch unbefriedigende Zentralisierungen (4)# gekennzeichnet.
ä Für den privaten Bereich fehlen geeignete Anlaufstellen. Die bekannten Qualitätssicherungsverfahren (z.B.: ISO 900x-Reihe) sprechen andere Aspekte der Informationstechnik an und können keinen Beitrag zur IT-Sicherheit liefern.
ä Österreich agiert bei der internationalen Ausgestaltung von IT-Sicherheit als Zuschauer.
ä Eine eigenständige österreichische IT-Sicherheitspolitik und deren effektive Umsetzung ist aus wirtschaftlichen und konsumentenpolitischen Gründen sinnvoll. Für österreichische Hersteller von IT-Produkten ergäbe sich die Möglichkeit einer nationalen Beratungs- und Evaluationsstelle, IT-Abnehmerkönnten bei ihrer Einkaufspolitik auf eine einheitliche Sicherheitspolitik zurückgreifen und Konsumenten hätten bei Fragen der Zuverlässigkeit von IT-Systemen (etwa im Zusammenhang mit Telefongebührenabrechnungen, Home-Banking-Software, Vertraulichkeit von Mailboxbetreibern usw.) eine leichterreichbare, unabhängige Prüf- und Beratungsstelle.
ä Eine derartige Stelle sollte nicht die Dimensionen des deutschen BSI (250 MA) erreichen, sondern sollte aus einer kleinen Beratungs- und Expertengruppe bestehen. Durch gezielte und enge Kooperationen mit bestehenden Prüfeinrichtungen könnten die notwendigen technischen Evaluationen kostengünstigabgewickelt werden (z.B.: Protokollanalysen, Hardware-Tests usw.).
ä Trotz aller Integrationsbemühungen, gibt es breite Felder, die eine nationale Interpretation einer EU-weiten Sicherheitspolitik bedürfen.
Die wichtigsten Ergebnisse der Erhebung:
ä Der Begriff IT-Sicherheit wird in seiner Bedeutung sehr breit gesehen (je 2/3 der Teilnehmer subsumierten darunter 'security', 'safety', 'privacy' und 'integrity').
ä IT-Sicherheit wird immer noch zu wenig als Qualitätsmerkmal eines IT-Systems angesehen.
ä Die zentralen Sicherheitsbegriffe 'Vertraulichkeit' (100% Zustimmung), 'Verfügbarkeit' (96%) und 'Integrität' (93%) stehen auch bei österreichischen IT-Verantwortlichen an oberster Stelle.
ä Backup und Brandschutz sind die klassischen Sicherheitsmaßnahmen schlechthin.
ä Betriebsprotokollierungen, die die Basis für die Rekonstruktion von Sicherheitsmängeln wären, sind bei den Sicherheitsmaßnahmen unter ´ferner liefen´ zu finden.
ä Erfreulich ist die relativ hohe Bedeutung der 'Auswahl geeigneter HW- und OS-Komponenten mit integrierten Sicherheitsfunktionen' (84% Zustimmung).
ä Die Zuständigkeit für IT-Sicherheit ist in Österreich ungeregelt. Die fehlende Verpflichtung zu einem Datenschutzbeauftragten (wie in Deutschland) behindert die klare Kompetenzzuordnung.
ä Zwischen der Vorstellung, wer zuständig sein sollte (EDV-Leitung, 53%), und wer tatsächlich zuständig ist (breite Streuung von Antworten), besteht eine starke Differenz. Die IT-Sicherheitsfrage scheint in Österreich eine Spielwiese für Kompetenzstreitigkeiten zu sein.
ä Die wirkungsvolle Umsetzung einer einheitlichen innerorganisatorischen Sicherheitspolitik erscheint in Hinblick auf die Zuständigkeitsfrage nicht gesichert zu sein.
ä Mitarbeiterweisungen (67%) und Mitarbeiterinstruktion (80%) sind die beliebtesten Kontrollmaßnahmen zur Umsetzung von Sicherheitsmaßnahmen.
ä Effektive Kontrollmaßnahmen werden allgemein gewünscht (90% Zustimmung), werden jedoch nicht immer umgesetzt (50% führen sie auch durch).
ä Externe Schulungsmaßnahmen (31%) und Systemprüfungen (38%) haben eine gute Zustimmung, werden jedoch praktisch überhaupt nicht in Anspruch genommen (5%). Dies deckt sich auch mit den Erfahrungen von Anbietern derartiger Dienste. Entsprechende Angebote werden zwar nachgefragt, aber nur zögernd inAnspruch genommen. Hier hätte eine offiziell akkredidierte Institution erhebliche Marktchancen.
ä Selbstentwickelte Prüfverfahren werden gegenüber Standardverfahren bevorzugt.
ä Den Sicherheitsbestimmungen des DSG wird ein (absurd) hoher Stellenwert eingeräumt.
ä Internationale Evaluationsverfahren sind in Österreich bekannter als ursprünglich angenommen.
ä Wenn eine Organisation irgendwelche Methoden zur Hebung von IT-Sicherheit einsetzt, dann wendet sie in der Regel mehrere Verfahren an.
ä Es besteht eine geringe Neigung für kryptographische Verfahren zusätzliche finanzielle Mittel aufzubringen. Eine eindeutige Interpretation kann nicht gegeben werden. Die wahrscheinlichste Interpretation ist, daß die IT-Anwender darauf vertrauen, proprietäre Systeme bzw. abgeschlossene IT-Netze('closed-shop-Betrieb' im weitesten Sinne) einzusetzen, in denen sich kryptographische Verfahren mangels Eindringmöglichkeiten erübrigen.
ä Zusätzliche Finanzmittel werden am ehesten für die Verbesserung des PC-Schutzes (zusätzliche Paßwortsicherung bei Endgeräten 78%, bzw. Virenprüf- und -entfernprogramme 84%) und für die Verbesserung bestehender Sicherheitseinrichtungen (Türanlagen 71%, Datensafes 71%, Zutrittskontrollsysteme 69%)ausgegeben.
ä IT-Anwender tendieren dazu, bestehende Sicherheitslösungen (z.B.: Backups) zu 'verbessern', anstatt neue Sicherungsverfahren zusätzlich einzuführen (Audit-SW, kryptographische Systeme, ...)
ä Die Bedeutung einer aktiven internationalen Mitarbeit im Bereich IT-Sicherheit wurde insgesamt als gering angesehen (nur 38% konnten sich dafür erwärmen).
ä Der Datenschutzkommission wird die höchste Vertretungskompetenz zugewiesen (70%). Dies gilt im gleichen Maß für öffentlich-rechtliche und privat-rechtliche Datenverarbeiter. Dies ist umso erstaunlicher, da die DSK im Bereich IT-Sicherheit nur eingeschränkte personelle Kapazitäten und auch nur einegeringe technische Prüfkompetenz hat.
ä Insgesamt wurde keine einzige Stelle von mehr als 1/3 der Teilnehmer genannt.
ä 87% der Teilnehmer befürworteten die spezifische Regelung sensibler Bereiche, jedoch nur 47% konnten sich eine spezifische Regelung ihres eigenen Bereichs vorstellen. Sicherheitsprobleme werden in erster Linie als Probleme 'der anderen' bzw. des anderen Datenverarbeitungsbereichesidentifiziert.
ä Es wurde eine breite Palette von gesellschaftlich und sozial relevanten Bereichen vorgegeben (von staatlichen Sicherheitsbehörden, Kreditwirtschaft, Gemeinden über Religionsgesellschaften bis zur Arbeits- und Personalvermittlung). Für alle Bereiche konnte sich eine Mehrheit der Teilnehmer finden(62 - 82%), die spezielle Regelungen dieser Bereiche befürworteten.
ä Besonders stark wurden Schulungs-, Aus- und Weiterbildungsmaßnahmen verlangt (91% wünschten sich mehr IT-Sicherheit in der Informatikausbildung, 78% ein professionelles Veranstaltungsangebot).
ä Verstärkte IT-Sicherheitsbemühungen sollten wirtschaftlich 'belohnt' werden (60% wünschten sich eine Bevorzugung zertifizierter IT-Anbieter bei öffentlichen Aufträgen).
ä Wenig beliebt waren Zulassungs- und Kontrollbehörden (je 31% Zustimmung), wobei dies jene beiden Mechanismen sind, die derzeit innerhalb der EU forciert werden.
Abgelehnt wurden auch 'strenge gesetzliche Vorschriften ohne strafrechtliche Sanktionen' (nur 31% Zustimmung). Diese Situation entspricht sehr genau dem derzeit gültigen DSG. Dagegen konnten sich immerhin noch 53% für 'strenge gesetzliche Vorschriften mit strafrechtlichen Sanktionen' erwärmen.
Die durchgeführte Umfrage kann als Orientierungs- bzw. Vorerhebung verstanden werden, die es erlaubt in naher Zukunft eine breiter angelegte Sicherheitsumfrage durchzuführen.
Die getroffenen Aussagen und Schlüsse sind nicht als endgültige wissenschaftlich abgesicherte Aussagen zur österreichischen Sicherheitspolitik anzusehen, sondern als Versuch, Zustimmung und/oder Widerspruch zu provozieren und damit die Diskussion zur IT-Sicherheitspoltik zu eröffnen.
Konsequenzen aus dieser Erhebung
(1) Bedarf an einer verbesserten IT-Sicherheitsausbildung. Tatsächlich wird 'Nicht-Wissen' immer mehr als Sicherheitsmangel empfunden.
(2) Bedarf einer flexibel agierenden Evaluationsstelle, an die sich Datenverarbeiter, Anbieter, aber auch Konsumenten gleichermaßen wenden können, um klare Aussagen über die Zuverlässigkeit eines IT-Produktes zu erhalten. Kein Bedarf an einer Zwangszulassungsbehörde.
(3) Wenn schon gesetzliche Regelungen verabschiedet werden, dann sollten diese zumindest effektive Sanktionsmaßnahmen enthalten. Ansonsten besteht die Gefahr, daß - analog zum DSG - der gesetzeskonforme IT-Anwender bestraft wird (durch höhere Sicherheitsausgaben) und der IT-Anwender, der diegesetzlichen Bestimmungen mißachtet, 'belohnt' wird. Abgesehen von der sozialen und rechtlich-politischen Sprengkraft, die derartige Konstruktionen haben, ergeben sich damit handfeste wirtschaftliche Verzerrungen.
(4) Evaluations- und Zertifizierungsverfahren benötigen politisch/wirtschaftliche Unterstützung, im Sinne der Bevorzugung zertifizierter Produkte oder der strafrechtlichen Sanktion von Verstößen.
(5) Die Dialektik sozialer Transparenz von Informationstechnik vs. Abschottung als notwendiger Teil konkreter Sicherheitsmaßnahmen, ist in Österreich völlig ungelöst.
Motivation
In den letzten Jahren sind die Einsatzfelder für Informationstechnik dramatisch gestiegen. Personalcomputer sind fixer Bestandteil vieler österreichischer Haushalte, praktisch jeder Telefonteilnehmer ist - wendet er die neuen Telekom-Dienstleistungen an - sowohl Betroffener von Datenverarbeitungen,als auch gleichzeitig Datenverarbeiter. Die Teilnehmer am 'Information-Highway' stecken sowieso in einem unauflösbaren Geflecht der gegenseitigen Abhängigkeiten als Verursacher und Betroffene von Datenverarbeitungen.
Wenn in naher Zukunft die Verknüpfung von lokalen Kabel-(TV)-Netzen mit interaktiven (Unterhaltungs-)Anwendungen, Teleworking, Informationsdatenbanken, Mailboxen und Home-Diensten vollzogen ist, werden singuläre medienrechtliche, datenschutzrechtliche oder fernmelderechtliche Regulierungen endgültigobsolet.
Wenn der Konsument die Mailbox eines lokalen Betreibers zur Schaltung von Privatanzeigen nutzt, wer ist Auftraggeber, wer Dienstleister, wer haftet für welche (Daten)-Teile?
Wenn derselbe Konsument ein Softwareprogramm 'seiner' Bank bezieht und damit Home-Banking betreibt. Wer ist für die Sicherheit, Vertraulichkeit, Zuverlässigkeit und gesetzliche Konformität dieser lokalen Datenverarbeitung verantwortlich? Wie verlagert sich die Verantwortlichkeit, wenn der Konsumentein frei kopierbares Shareware-Programm benutzt oder sich der Dienstleistungen eines oder mehrerer Netzwerkbetreiber bedient? So sind heute Banken über INTERNET, BTX und Telefon anwählbar. Homebanking, aufgrund der hohen Kommunikationskosten bis vor kurzem nur als lokaler Dienst (bei BTXösterreichweit bzw. beim Telefon innerhalb des Ortsgebietes) eingesetzt, kann heute weltweit zu lokalen Tarifen, etwa über INTERNET oder COMPUSERVE, betrieben werden.
Umgekehrt bedeutet dies, daß sensible Finanzinformationen durch zahllose Knotenrechner weitergeleitet, über unzählige Netze geroutet werden, bis die Information tatsächlich bei der Bank ankommt. Hunderte Chancen, die verwendeten Kontonummern, Paßwörter, PIN-Codes und Transaktionsnummern auszuspähen.Wenn vielleicht auch kein unmittelbarer Zugriff auf das Konto des Konsumenten gelingt, ergeben sich zahllose Gelegenheiten die Daten zu verfälschen (5)#, zu beschädigen oder schlicht festzustellen, in welchen wirtschaftlichen Beziehungen der Kontoinhaber steht oder wie sein Reise- undKonsumverhalten aussieht.
Was soll davon zu halten sein, daß manche österreichische Banken Banking-Software vertreiben, die Verschlüsselung optional vorsehen? Ist die verwendete Verschlüsselung sowieso nichts Wert oder soll diese Option im Falle eines späteren Streits über mißglückte und/oder verfälschte Transaktionen eineMöglichkeit darstellen, das Sicherheitsrisiko an den Kunden abzuwälzen? 'Warum haben Sie die Verschlüsselungsoption nicht eingeschalten?' Tatsächlich kann von einem durchschnittlichen Bankkunden nicht erwartet werden, daß er die Sicherheit von Kommunikationsnetzen korrekt einschätzen kann, hier mußer auf die Fähigkeit der Bank vertrauen können, auch in offenen Systemen zuverlässige Datenverarbeitungen zu garantieren.
Der Hinweis, daß Netzwerkbetreiber zur Einhaltung von Datensicherheit verpflichtet sind oder daß uns ein strenges Bankgeheimnis vor allzu zudringlichen Überwachungen schützt, geht spätestens dann ins Leere, sobald der Informationsverkehr international abgewickelt wird. Selbst (scheinbar) reininnerösterreichische Geschäftskontakte können über ausländische Netze und Knoten abgewickelt werden, bei internationalen Transaktionen ist zu keinem Zeitpunkt klar, welchen Weg die verschiedenen Informationspakete tatsächlich nehmen.
Bestimmungen, wie sie im DSG im Zusammenhang mit der Genehmigung des internationalen Datenverkehrs bestehen und konkrete Angaben verlangen, welche Daten in welche Länder gehen, sind damit obsolet geworden.
Der Sinn eines weltumspannenden offenen Datennetzes besteht ja gerade darin, nicht mehr wissen zu müssen/können, welchen konkreten physikalischen Weg einzelne Informationen nehmen. Die Vorteile verteilter Datenbanken, Computerressourcen usw. bestehen darin, daß ich lokale Unterschiede, etwaZeitzonendifferenzen, nutzen kann, ohne dafür jeweils zeitraubende Vereinbarungen treffen zu müssen. Natürlich könnte jemand auf die Idee kommen, sich den Datenverkehr mit beliebigen Daten nach allen beliebigen Ländern der Erde genehmigen zu lassen. Derartige Globalermächtigungen treffen nicht denGeist einer gesetzlichen Regelung, sondern sind Ausdruck der Unangemessenheit der entsprechenden Regelungen.
Bisher wurde und wird IT-Sicherheit immer noch über die Mechanismen 'Aufpassen', 'Nicht-Wissen' und 'Abschottung' gewährleistet.
'Aufpassen' bedeutet, daß in vielen Automationsbereichen zusätzliche Personen zur Kontrolle eingesetzt werden, obwohl auch automatisierte Kontrollen möglich wären.
'Nicht-Wissen' bedeutet, daß Datenverarbeiter immer noch auf ihre proprietären Systeme, deren interne Mechanismen nur einer kleinen Gruppe von Spezialisten bekannt sind, vertrauen.
'Abschottung' führt dazu, daß parallele Übertragungs- und Verarbeitungssysteme aufgebaut werden, obwohl die entsprechenden Netze und Ressourcen nicht vollständig ausgelastet sind.
Alle drei Konzepte sind veraltet. 'Aufpassen' ist zu teuer und hemmt in vielen Bereichen den Aufbau effektiver Informationssysteme, 'Nicht-Wissen' ist angesichts der internationalen Vernetzung und der Forcierung 'offener Systeme' völlig illusorisch und 'Abschottung' ist schlicht und einfach zuteuer. Kleine Volkswirtschaften wie Österreich werden sich auf Dauer nicht den Luxus paralleler, teilausgelasteter Kommunikationsnetze leisten können.
Was folgt jedoch nach 'Aufpassen', 'Nichtwissen' und Abschottung'?
Internationale Entwicklung
Diese Überlegungen sind international gesehen nicht neu. Schon seit den frühen 80-er Jahren machte sich in den USA - zuerst motiviert durch militärische Anforderungen - die Idee der 'security policy' in der Informationstechnik breit.
Darunter war der Gedanke zu verstehen, Datenverarbeitungen, egal welch unterschiedlichen sachlichen Zwecken (von der Bank über Wissenschaftsrechner bis zur Raketensteuerung) oder welch unterschiedlichen technischen Anforderungen sie genügen müssen (von Buchhaltung bis zu Real-time-System), untereinem einheitlichen Konzept der Sicherheit/Zuverlässigkeit zu betrachten.
Um den unterschiedlichen Sicherheitsbedürfnissen trotzdem adäquat Rechnung tragen zu können, wurden verschiedene Stufen von Sicherheit definiert. Dem 'Orange Book' des DoD kam eine Vorreiterrolle zu. Freilich wurde bei der Analyse dieses Sicherheitskonzeptes bald klar, daß es das Schwergewicht zustark auf die Komponente 'Vertraulichkeit' legte und andere Aspekte, wie 'Zuverlässigkeit' und 'Integrität' vernachlässigte.
Kurz darauf folgte ein kanadisches, ein ISO-, ein NATO-, ein deutsches, französisches und ein britisches Sicherheitskonzept:
Statt einer klaren IT-Sicherheitspolitik war der informierte Datenverarbeiter mit einem Dutzend Informations-'Politiken' konfrontiert. Die Betonung liegt auf 'informiert', da den meisten IT-Verantwortlichen die Diskussion um eine allgemeine Sicherheitspolitik reichlich egal war. Sie fühlten sich mitder Aufrechterhaltung des täglichen Betriebs, mit der geglückten Migration ihres IT-Systems in einer immer schnelleren Innovationszyklen unterliegenden Branche und mit der Lösung der (all)täglichen Sicherheitsfragen vollständig ausgelastet. Dabei wurde ein induktives Sicherheitsmodell angewandt. Ausder Abwesenheit bisheriger schwerer Schäden wurde geschlossen, daß die derzeitigen Vorkehrungen auch für die Zukunft ausreichend sind.
Weniger akademisch formuliert: 'Weil bisher nichts passiert ist, wird auch in Zukunft nichts passieren.' Klar ist, daß bei einem derartigen Ansatz jede technische Neuerung, jeder Bericht über fremde Schäden, seien es Viren, Hacker, Computersabotage oder auch nur die Diskussion überDatenschutzkonformität oder Datenintegrität, Verunsicherung hervorrief. Machten diese Berichte bewußt, daß das eigene Sicherheitskonzept immer nur ein ad-hoc-Stückwerk war. Schließlich hatte man ja nie versucht, auch objektivierbare Qualitätskriterien zur Sicherheit der eigenen Datenverarbeitungfestzuschreiben.
Welche sollte der Datenverarbeiter auch berücksichtigen, verursachte doch die umfassende Einhaltung auch nur einer 'security-policy' enorme Kosten?
Noch schwieriger war die Situation für den Anbieter von IT-Produkten. Selbstverständlich hat jeder Hersteller seine eigenen Sicherungsmethoden, ohne Sicherheitsargumente war kein IT-Produkt verkaufbar. Die Produkte jedoch zusätzlich mit enormen Zeit- und Finanzaufwand (6)# evaluieren lassen, dabeiseine proprietären Lösungen offen legen zu müssen und trotzdem nur einen relativ kleinen nationalen Teilmarkt abdecken zu können? Keine verlockende Aussicht. Damit blieb die Sicherheitsevaluation von IT-Produkten eine Angelegenheit für Insider und Spezialanwendungen.
Einer geringen Nachfrage an Sicherheitsprodukten folgte ein geringes Angebot, vice versa. Dies trotz der paradoxen Situation, daß das Bedürfnis nach Sicherheit in der Informationstechnik ständig wuchs.
Neue (internationale) Entwicklungen
Diese ersten Erfahrungen mit Sicherheitspolitik und dem Paradoxon, daß es galt, etwas öffentlich zu definieren, allgemein zu regeln und transparent zu machen, das bisher davon lebte, geheimgehalten zu werden, führten innerhalb der EU zu einer Reihe von konkreten Maßnahmen.
(1) Die Gründung einer überstaatlichen IT-Sicherheitsgruppe (7), die die Sicherheitsbemühungen der einzelnen (öffentlichen) Verwaltungen akkordieren sollte.
(2) Die Empfehlung, in jedem EU-Land eine eigene Sicherheits- und Evaluationsstelle aufzubauen. Eine Empfehlung, der bisher Deutschland mit dem 'Bundesamt für Sicherheit in der Informationstechnik' nachgekommen ist.
(3) Die Entwicklung einer EU-einheitlichen Sicherheitspolitik, mit ITSEC (8)# umschrieben.
(4) Die Verabschiedung einer Reihe von Richtlinien zur Sicherheit in Informations- und Kommunikationssystemen# (9).
Dieses Maßnahmenbündel sollte es für IT-Anwender und IT-Anbieter des EU-Raums attraktiver machen, ihre Informationstechnik nach dieser Sicherheitspolitik zu orientieren, gleichzeitig sollte ein nach EU-Kriterien evaluiertes IT-Produkt Wettbewerbsvorteile gegenüber nicht evaluierten Produkten haben,die Zersplitterung der Evaluationsmethoden sollte überwunden werden und für den Konsumenten sollte eines der größten Hemmnisse in der Verbreitung von Informationstechnik, die Risiken bezüglich Zuverlässigkeit, des Datenschutzes und der Datenintegrität minimiert werden. Informationstechnik solltedamit transparenter werden.
Die letzten beiden Jahre zeigen jedoch, daß (a) diese Bemühungen nicht rasch genug umgesetzt werden können (viele der angestrebten Richtlinien warten immer noch auf eine Beschlußfassung (10) )#, (b) auch ein gemeinsamer Sicherheitsraum EU bei der Entwicklung von neuen, hochkomplexen IT-Produkten zuklein ist. Da die USA noch immer als größter IT-Markt fungieren, müßte ein interessierter Datenverarbeiter wiederum mehrere Evaluationsverfahren durchlaufen.
Diese Erkenntnisse führten 1992 zur Gründung einer Gruppe, die unter dem Titel 'CommonCriteria' eine Sicherheitspolitik festschreiben soll, die die wechselseitige Anerkennung von Evaluationen und Zertifizierungen zum Ziel hat.
Österreichs Ausgangslage
Vor diesem Hintergrund der internationalen Konzentration von Sicherheitsbemühungen, bei gleichzeitigen Fehlen breiter Durchsetzungsmechanismen, konstituierte sich 1993 der OCG-Arbeitskreis IT-Sicherheit.
Schon die Eingangssitzungen zeigten ein breites Interessensspektrum:
ä Sicherheitsmanagement, Sicherheitspolitik
ä Risikomanagement, Risiko- und Schwachstellenanalyse
ä Sicherheitsanforderungen
ä Formale Modelle der Verläßlichkeit und der Beweisbarkeit von Verläßlichkeitseigenschaften
ä Methoden und Tools zur Entwicklung verläßlicher Systeme
ä Architektur verläßlicher Systeme
ä Sicherheitsmechanismen und -dienste
ä Kryptographie und Kryptoanalyse
ä Datenbank-Sicherheit
ä Netzwerk-Sicherheit
ä Sicherheit von verteilten Systemen
ä Sicherheit in bereichsspezifischen Applikationen
ä Wechselwirkungen zwischen Fehlertoleranz und Verläßlichkeit
ä Evaluationskriterien
ä Rechtliche Aspekte, Datenschutz
ä Computerkriminalität
ä Wirtschaftlichkeit von Sicherheitsmaßnahmen
Von Beginn an stand die Frage nach einer 'österreichischen Sicherheitspolitik' ganz oben. Gibt es diese? Und wie schaut sie aus?
Diese Frage landete beim Autor, mit der Bitte einen ersten (initiativen) Diskussionsbeitrag zu liefern. Genau diese Anforderung soll dieser Text erfüllen. Er soll in seinen Aussagen und Schlußfolgerungen Zustimmung- und Widerspruch erwecken, in jedem Fall zur Diskussion anregen.
Der Einstieg zum Thema wurde zuerst dadurch gefunden, daß die Frage rückdelegiert wurde.
Die Erhebung
Es wurde ein Fragebogen entworfen, der umfangreicher als ursprünglich geplant ausfiel und im wesentlichen 10 Themenkreise behandelte. (11)
Der erste Teil umfaßte die Sicherheitspraxis des eigenen IT-Systems, der zweite Teil eher allgemeine Fragen zu einer österreichischen Sicherheitspolitik.
TEIL I:
1. Mit welchen Begriffen wird IT-Sicherheit assoziiert? Wird IT-Sicherheit einseitig mit Fragen der Computerkriminalität, der Betriebssicherheit, der Qualitätssicherung oder des Datenschutzes identifiziert?
i Unter IT-Sicherheit verstehen verschiedene Personen völlig Unterschiedliches.
ii IT-Sicherheit wird nicht mit IT-Qualität in Verbindung gebracht.
2. Gibt es einen Konsens bezüglich der Kriterien eines sicheren IT-Systems? Wie stark ist das 'induktive' Modell der IT-Sicherheit vertreten?
i Die international üblichen Kriterien 'Verfügbarkeit', 'Integrität' und 'Vertraulichkeit' haben in Österreich gegenüber der bloßen Aufrechterhaltung des Betriebes Nachrang.
ii Die Abwesenheit von Störungen wird als wichtiger eingestuft, als das Vorhandensein von konkreten Qualitätseigenschaften des IT-Systems.
3. Welche Sicherheitsmaßnahmen werden gesetzt?
i 'safety'-Maßnahmen (Betriebsstörungen) gehen vor 'security'-Maßnahmen (Computerkriminalität), diese wiederum vor 'privacy'-Maßnahmen (Datenschutz).
ii Hardware-Sicherheitsmaßnahmen gehen vor Software-Sicherheitsmaßnahmen.
iii Bauliche Maßnahmen sind wichtiger als IT-technische Maßnahmen.
4. Wer ist für IT-Sicherheit zuständig?
i IT-Sicherheit wird in Österreich zu stark als DV-interne Angelegenheit angesehen.
5. Wie wird IT-Sicherheit kontrolliert?
i 'Aufpassen' im Sinne organisatorischer Anweisungen sind immer noch wichtiger, als integrierte sicherheitstechnische Funktionen.
ii Objektivierte 'Tests', Evaluationen von IT-Systemen, im Sinne externer Prüfungen oder auch durch Penetrationsversuche werden in Österreich stark abgelehnt.
6. Welche methodischen Ansätze werden zur Überprüfung der eigenen IT-Sicherheit verwendet?
i Selbstentwickelte Methoden haben Vorrang vor international akkordierten Evaluationsverfahren.
ii Standard- ('internationale') Evaluationsverfahren sind weitgehend unbekannt.
7. Für welche Sicherheitsprodukte bestehen in Österreich Marktchancen?
i Zusätzliche Sicherheitsprodukte dürfen nichts (nicht viel) kosten.
ii Für konventionelle (=bauliche, sichtbare) Lösungen besteht eher Bereitschaft Geld auszugeben, als für it-spezifische (nicht sichtbare) Maßnahmen.
TEIL II:
8. Welche Rolle spielt Österreich bei der Formulierung einer internationalen Sicherheitspolitik?
i Die Bedeutung einer aktiven Mitarbeit wird unterschätzt.
ii Es fehlt an einer eindeutig zuständigen Vertretungsinstanz.
9. Soll es für verschiedene Bereiche verschiedene 'Sicherheitsregelungen' geben?
i Es besteht die Tendenz zur kasuistischen Regelung von IT-Sicherheit.
ii Es wird für fremde Sachbereiche ein höherer Regelungsbedarf gesehen, als für den eigenen Bereich.
10. Welche politischen Maßnahmen sollen ergriffen werden, um IT-Sicherheit in Österreich stärker zu verankern?
Ziel war es auch herauszufinden, an welchen konkreten Vorschlägen der OCG-Arbeitskreis IT-Sicherheit in nächster Zukunft arbeiten soll.
i Freiwillige, unverbindliche Maßnahmen werden bevorzugt.
ii Evaluations- und Zertifizierungsverfahren benötigen politisch/wirtschaftliche Unterstützung.
Zusätzlich wurde erhoben, inwieweit es eine Differenz zwischen politischen Wunschvorstellungen und gelebter Praxis in den einzelnen Organisationen gibt.
Angesprochener Personenkreis, Rücklauf und Streuung
Es war dem Autor bewußt, daß es sich bei der Umfrageaktion um ein sensibles Unterfangen handelte:
1. Über IT-Sicherheit wird in Österreich nicht gern gesprochen, (12)
2. daß der umfangreiche Fragebogen kleine oder mittlere Datenverarbeiter ohne hauptberuflichen Sicherheitsverantwortlichen eher abschreckte,
3. daß alle bisherigen Umfragen dieser Art, seien sie in Österreich (z.B. Diebold) oder in Deutschland (z.B. KES (13) #) durchgeführt, mit der Antwortscheu der Datenverarbeiter zu kämpfen hatten.
Insgesamt wurden 377 Organisationen angeschrieben, das Verhältnis zwischen privaten und öffentlichen Organisationen war nahezu 1:1. 45 Fragebögen wurden retoruniert, je 20 stammen aus dem öffentlichen Bereich (Bundes-, Landes- und Gemeindedienststellen, Universitäten, Kammern) und aus dem privatenBereich (Firmen, Vereine), fünf Fragebögen wurden anonym retourniert.
Die Hälfte der Teilnehmer beantworteten die Frage nach der Organisationsgröße. Es wurde ein Durchschnittswert von 1800 ermittelt. Die Bedeutung der Informationstechnik wurde in der 100-teiligen Skala in knapp der Hälfte der Fälle als 'sehr wichtig' (Wert zwischen 90-100) eingestuft, nur 2 Teilnehmernannten einen Wert unter 50, drei gaben keine Antwort.
Aufgrund der abgegebenen Fragebögen, der 10 weiteren schriftlichen und 20 mündlichen Stellungnahmen konnte ein Stimmungsbild über Österreichs Sicherheitspolitik gewonnen werden.
Vorteilhaft war, daß die Anwortgeber vorrangig aus dem Bereich der Groß-EDV stammten und damit die IT-Praxis vieler tausend Anwender umfaßten. Positiv war auch, daß sowohl öffentliche, als auch private Datenverarbeiter sich der Mühe der Beantwortung unterzogen. Aufgrund der geringen Antwortzahlerfolgte keine branchenspezifische Differenzierung.
Letztlich sollte diese Umfrage als Ausgangspunkt für eine breiter angelegte, in Zusammenarbeit mit einem Universitätsinstiut durchgeführte Umfrage ITSEC'95 dienen.
Die Ergebnisse der Umfrage
Teil I
1. Mit welchen Begriffen wird IT-Sicherheit assoziiert?
ä Die Begriffe 'safety', 'privacy', 'security' und 'integrity' wurden von jeweils rund 2/3 der Befragten mit dem Begriff 'Sicherheitspolitik' in Verbindung gebracht.
ä Nur der Begriff 'quality' wurde deutlich weniger
(< 50%) mit Sicherheit assoziiert.
ä Besonders erfreulich war der hohe Stellenwert, der dem Begriff 'privacy' eingeräumt wurde.
ä Die Hypothese (i) konnte in der ursprünglichen Form nicht verifziert werden. Von einem Konsens in der Begriffsbildung kann aber trotzdem nicht gesprochen werden, da bei allen Begriffen jeweils mindestens 1/3 der befragten Personen, diesen Begriff nicht mit Sicherheitspolitik in Verbindungbrachten.
ä Die Hypothese (ii) konnte bestätigt werden. IT-Sicherheit und IT-Qualität werden noch in einem sehr starken Maß als getrennt angesehen.
2. Gibt es einen Konsens bezüglich der Kriterien eines sicheren IT-Systems?
ä Die zentralen Sicherheitsbegriffe 'Vertraulichkeit' (100% Zustimmung), 'Verfügbarkeit' (96%) und 'Integrität' (93%) stehen auch bei österreichischen IT-Verantwortlichen an oberster Stelle. Die Hypothesen (i) und (ii) wurden damit nicht bestätigt.
ä Wenig Chancen haben in Österreich formale Verifikationsverfahren, weniger als 50% können sich davon positive Sicherheitsbeiträge vorstellen.
ä Es wurde ein sehr umfangreicher Maßnahmenkatalog vorgeschlagen (33 Einzelmaßnahmen), die keine durchgängige Anworttendenz im Sinne der Hypothesen ergaben.
ä 27 Maßnahmen erreichten Zustimmungen (wichtig bzw. sehr wichtig) von mehr als 50%, nur 2 Sicherheitsmaßnahmen wurden als exotisch eingestuft:
- Versicherung von Datenverlustrisken (13/45)
- Protokollierung aller Datenabfragen (9/45)
ä Eindeutige Spitzenreiter bei den Sicherheitsmaßnahmen waren Backup (100%) und Brandschutzeinrichtungen (93%). Beides sind klassische 'safety'-Maßnahmen, was die Hypothese (i) eher erhärtet.
ä Erstaunlich bei beiden Spitzenreitern war die Tatsache, daß nur rund zwei Drittel angaben, diese Maßnahmen auch tatsächlich intern umzusetzen#. (14)
ä Bei einer Reihe von Maßnahmen gab es eine extrem große Differenz zwischen Zielvorstellung und Praxis. Sie werden zwar als wichtig angesehen, jedoch intern nicht verwirklicht:
- Herausgabe eines IT-Katastrophenplanes (35 wichtig zu 9 Umsetzungen
- Herausgabe eines IT-Sicherheitshandbuches (28/8)
- Leitungs- und Datenverschlüsselung (25/7)
ä Erfreulich die relativ hohe Bedeutung der 'Auswahl geeigneter HW- und OS-Komponenten mit integrierten Sicherheitsfunktionen' (84% Zustimmung). Ob diese Position aufgrund einer Mainframe-Lastigkeit der Umfrageteilnehmer zurückzuführen ist, wo derartige Sicherheitslösungen eine längere Traditionhaben können oder bei der Auswahl im Abteilungs- und Arbeitsplatzrechnerbereich Geltung hat, konnte nicht erhoben werden.
ad 4.: Wer ist für IT-Sicherheit zuständig?
ä In 53% wird die Zuständigkeit der EDV-Leitung für IT-Sicherheit besonders eindrucksvoll reklamiert, obgleich nur ein verschwindender Teil der Umfrageteilnehmer die Zuständigkeit tatsächlich bei der EDV-Leitung ansiedelt (7 Teilnehmer).
ä Insgesamt wird bei 3/4 der Teilnehmer (35 TN) die EDV-Abteilung als zuständig reklamiert, jedoch nur bei 1/3 tatsächlich auch dort die Zuständigkeit angesiedelt (16 TN).
ä Die Hypothese (i) konnte nicht direkt verifiziert werden. Der Unterschied zwischen Wunschvorstellung und Praxis ist in dieser Frage extrem groß. Damit besteht die permanente Gefahr, daß für Sicherheitsfragen 'niemand' zuständig bzw. im Falle von Mängeln niemand verantwortlich ist.
ä Eindeutige Spitzenreiter in der Sicherheitskontrolle sind Instruktionen der Mitarbeiter (80%) und Anweisungen der Geschäftsführung(67%). Diese beiden 'Kontrollmaßnahmen' sind auch die einzigen, bei denen auch eine stärkere interne Umsetzung (mehr als 50 %) signalisiert wurde.
ä Die Hypothese (ii) konnte relativ klar bestätigt werden. Externe Maßnahmen (Mitarbeiterschulung, Revisionen, Systemprüfungen oder Penetrationsversuche) werden zwar von 50 % der Teilnehmer begrüßt, sind jedoch extrem unbeliebt in der Umsetzung (5 %).
ä Unangekündigte interne Kontrollen bzw. Auswertungen von Betriebsprotokollen sind sehr beliebt (80 %) und auch in einem höheren Maße als ursprünglich angenommen umgesetzt (40 %).
ä Mögliche Gründe für das Fehlen objektivierter Evaluationsversuche können die hohen Kosten, die externe Prüfungen verursachen oder auch die Scheu, seine bisherige Sicherheitspraxis offenzulegen sein.
ä Völlig überraschend wurden die Sicherheitsbestimmungen des DSG als beliebtestes Hilfsmittel zur Verbesserung von IT-Sicherheit genannt (71 %). Tatsächlich enthält das DSG jedoch nur in einem einzigen Paragraphen (Par. 10) einige prinzipielle Aussagen.
ä An zweiter Stelle liegen selbst entwickelte Sicherheitschecklisten (67 %).
ä Nur die DSG-Bestimmungen und die eigenen Sicherheitschecklisten werden im nennenswertem Umfang eingesetzt (ca. je 1/3 der Teilnehmer).
ä Nicht verifiziert werden konnte die Hypothese (ii). Die gängigen internationalen Evaluationsverfahren wurden in einem hohen Ausmaß als bekannt genannt.
ä Mehr als 80 % aller Teilnehmer halten den Einsatz von international akkordierten Evaluationsverfahren für wünschenswert, nur knapp 10 % wenden sie auch tatsächlich an. 37% wenden aber irgendwelche objektivierte Sicherheitsverfahren an, seien dies Sicherheitsrichtlinien von Normungsorganisationen,Empfehlungen von HW-/SW-Lieferanten oder verschiedene nationale ausländische Sicherheitsrichtlinien. Organisationen, die irgendwelche Methoden zur Hebung von IT-Sicherheit einsetzen, wenden in der Regel mehrere Verfahren an.
ä Zusätzliche Finanzmittel werden am ehesten für die Verbesserung des PC-Schutzes (Zusätzliche Paßwortsicherung bei Endgeräten 78% bzw. Virenprüf- und entfernprogramme 84%) und für die Verbesserung bestehender Sicherheitseinrichtungen (Türanlagen 71%, Datensafes 71%, Zutrittskontrollsysteme 69%)ausgegeben.
ä Für kryptographische Verfahren besteht eine geringe Neigung zusätzliche finanzielle Mittel aufzubringen. Für Kryptographie-SW können sich immerhin noch 40% vorstellen mehr Geld auszugeben, bei Kryptographie-HW nur noch knapp 25 % der Teilnehmer. Möglicherweise besteht auch eine Fehleinschätzungbezüglich der Kosten, der Leistungsfähigkeit und des Betriebsaufwandes derartiger HW. Weitere Interpretationen wären, daß die IT-Anwender darauf vertrauen proprietäre Systeme bzw. abgeschlossene IT-Netze ('closed-shop-Betrieb' im weitesten Sinne) einzusetzen, in denen sich kryptographische Verfahrenmangels Eindringmöglichkeiten erübrigen. Eine andere Interpretation wäre, daß dem Faktor 'Vertraulichkeit' im Endeffekt kein besonders hoher Stellenwert beigemessen wird.
ä Die Hypothese (i) wurde zumindest teilweise gestützt, da PC-Produkte, wie Anti-Virenprogramme ganz oben standen. Auch die Hypothese (ii) ist eher erhärtet, da als zusätzliche Produkte in der Regel jene ganz oben genannt wurden, die auch schon bei der Frage 3 an der Spitze standen.
ä Nur 38% der Teilnehmer wünschen sich eine aktive Mitarbeit Österreichs bei der Formulierung einer internationalen Sicherheitspolitik. Die Hypothese (i) wurde damit eher erhärtet.
ä Als möglicher bzw. wünschenswerter Vertreter Österreichs können sich 70% die Datenschutzkommission vorstellen. Interessanterweise war das Verhältnis der öffentlich-rechtlichen und der privat-rechtlichen Antworten in dieser Frage 1:1. Damit wird die Datenschutzkommission mit einem hohenVertrauensvorschuß versehen.
ä Sehr geringe Kompetenz in Sachen IT-Sicherheit wurde der Post- und Telegraphenverwaltung, der Bundeswirtschaftskammer und dem Wirtschaftsministerium zugestanden.
ä Interessant war, daß in den Kompetenzzuordnungen zwischen öffentlich-rechtlichen Datenverarbeitern und privatrechtlichen kein Unterschied festgestellt werden konnte.
ä Insgesamt wurde keine einzige Stelle von mehr als 1/3 der Teilnehmer genannt. Der 'Spitzenreiter' in den Antworten, die DSK, ist aus der Sicht des Autors schon allein aus der rechtlichen Konstruktion heraus für IT-Sicherheitsfragen nur sehr begrenzt zuständig.
ä Für eine eigens geschaffene IT-Sicherheitsprüf- und Beratungsstelle ergäbe sich hier ein klares Aufgabenfeld.
ä Es wurde eine breite Palette von verschiedenen gesellschaftlich und sozial relevanten Sachbereichen vorgegeben (von staatlichen Sicherheitsbehörden, Kreditwirtschaft, Gemeinden über Religionsgesellschaften bis zur Arbeits- und Personalvermittlung). Für alle Bereiche konnte sich eine Mehrheit derTeilnehmer finden (62 - 82%), die spezielle Regelungen dieser Bereiche befürworteten. Dies deckt sich auch mit der internationalen Datenschutzentwicklung, die dazu tendiert, einzelne, besonders sensible Bereiche, speziell zu regeln.
ä Insgesamt befürworteten 87% der Teilnehmer die spezifische Regelung sensibler Bereiche, jedoch nur 47% konnten sich eine spezifische Regelung ihres Bereichs vorstellen. Sicherheitsprobleme werden in erster Linie als Probleme 'der anderen' bzw. des anderen Datenverarbeitungsbereichesidentifiziert.
ä Sowohl Hypothese (i), als auch Hypothese (ii) wurden erhärtet.
ä Besonders stark wurden Schulungs-, Aus- und Weiterbildungsmaßnahmen verlangt (91% wünschten sich mehr IT-Sicherheit in der Informatikausbildung, 78% ein professionelles Veranstaltungsangebot). Daraus ergeben sich klare Aufträge an die Universitäten.
ä Dahinter kam der Wunsch, daß verstärkte IT-Sicherheitsbemühungen auch konkrete wirtschaftliche Vorteile haben (60% wünschten sich eine Bevorzugung zertifizierter IT-Anbieter bei öffentlichen Aufträgen).
ä Abgelehnt wurden auch 'strenge gesetzliche Vorschriften ohne strafrechtliche Sanktionen' (nur 31% Zustimmung). Diese Situation entspricht sehr genau dem derzeit gültigen DSG. Da konnten sich immerhin noch 53% für 'strenge gesetzliche Vorschriften mit strafrechtlichen Sanktionen' erwärmen.
ä Sowohl Hypothese (i), als auch (ii) wurden erhärtet, neue Einrichtungen und Institutionen wurden eher skeptisch bewertet.
Grenzen der Umfrage
Die Fragebogenaktion erfaßte sicher nur einen kleinen, jedoch in Sachen Sicherheitspolitik hochmotivierten Teil von Datenverarbeitern.
Die Antworten kamen von einem Personenkreis, der (a) schon eine klare Vorstellung zur IT-Sicherheitspolitik hatte,
(b) genügend Zeit fand, den Fragebogen auszufüllen und
(c) zumindest für sich das dialektische Problem Transparenz vs. Geheimhaltung bei Sicherheitsfragen gelöst hatte.
Eine Folgestudie müßte daher verstärkt Bemühungen setzen, auch jene Personen anzusprechen, bei denen einer der Punkte nicht zutraf.
Einzelne Stellungnahmen
'Wir haben Ihren Fragebogen betreffend die Sicherheit in der Informationstechnik erhalten, sehen uns aber außerstande, ihn sinnvoll auszufüllen bzw. zu beantworten. Zu vielfältig sind die Erfordernisse bzw. Vorkehrungen für die einzelnen Bereiche, als daß sie sich in einem derart allgemeingehaltenen Fragebogen widerspiegeln ließen. Selbstverständlich sind alle von Ihnen angeführten Kriterien bzw. Maßnahmen für die IT-Sicherheit gleichermaßen wichtig, und es wäre unsinnig, unterschiedliche Wertungen vorzunehmen. ... Grundsätzlich halten wir es für notwendig und wichtig, daßIT-Sicherheitsmaßnahmen öffentlich diskutiert werden. Konkrete, in einem Unternehmen getroffene Sicherheitsvorkehrungen müssen aber zur Erreichung des angestrebten Schutzziels der strikten Geheimhaltung unterliegen.'
(öffentlicher Datenverarbeiter)
'Datenschutz und Datensicherheit sind aus unserer Sicht sehr wesentliche Bereiche, zu denen festzuhalten ist, daß ihr Erfolg zu einem wesentlichen Teil darauf beruht, daß über Details nicht oder nur allgemein Auskunft gegeben wird. Ob solche Maßnahmen intern realisiert, geplant oder nicht vorhandensind, sollte aus unserer Sicht nicht öffentlich diskutiert werden. ... Eine konkrete Beantwortung aller Ihrer Fragen oder der Bekanntgabe bekannter Literatur ließe Rückschlüsse darauf zu, wie unsere Sicherheitsmaßnahmen organisiert sind bzw. wie wir auf bestimmte Vorfälle reagieren würden. ...
Darüber hinaus haben wir den Eindruck, daß Ihr Fragebogen in manchen Bereichen zu allgemein ist, um daraus konkrete Ergebnisse abzuleiten. Die Fragen, in welchen Bereichen getrennte IT-Sicherheitsrichtlinien geschaffen werden sollten, lassen sich unseres Erachtens nicht gut beantworten: Es kommt ausunserer Sicht weniger auf die Stelle an, die Daten verarbeitet, sondern welche Daten verarbeitet werden.'
'... wir bitten um Verständnis, daß wir ihren Fragebogen nicht ausfüllen werden. Meiner Meinung nach ist dieser für eine Kleinorganisation mit 5 Arbeitsplätzen überdimensioniert.'
(privater Datenverarbeiter)
'Als Beilage finden Sie den ausgefüllten Fragebogen von Ihrer Umfrage. Bitte haben Sie dafür Verständnis, daß wir jene Fragen, die sich auf den Stand der Sicherheitsmaßnahmen in unserem Unternehmen beziehen, aus grundsätzlichen Überlegungen nicht ausgefüllt haben.'
'Grundsätzlich sollte die IT-Sicherheit auf freiwilliger Basis erreicht werden. Jede Organisation sollte für sich selbst entscheiden können, welche Maßnahmen sie für zweckmäßig hält. Normen und Richtlinien können die Entscheidung vereinfachen. Eine weitgehende gesetzliche Regelung ist nichtzweckdienlich.'
Österreichs Aktivitäten zur Sicherheitspolitik
(in Stichworten)
ä Im Informatik-Leitkonzept des Bundes (1991) kommt IT-Sicherheit nur im Zusammenhang mit der Kompetenzzuordnung zum BKA vor.
ä Teilnahme des BKA an der SOG-IS der EU.
ä Bezug von IT-Sicherheitsinformationen vom BSI durch öffentliche Datenverarbeiter.
ä IT-Sicherheitspolitik wird bei den Ländern als interne Angelegenheit angesehen (Föderalismus!).
ä TÜV-Österreich beschäftigt sich nicht mit IT-Sicherheitsevaluationen und -Zertifizierungen. In welchem Ausmaß dies bei TÜV International geschieht, konnte bei TÜV Österreich nicht beauskunftet werden.
ä Im Bereich der akkreditierten Prüfanstalten (Arsenal, Seibersdorf, Johanneum) existiert keine, spezifisch auf IT-Sicherheitsfragen spezialisierte Anlaufstelle.
ä An eine Zertifizierungsstelle ist im Bereich des Bundeskanzleramtes ausdrücklich nicht gedacht.
ä Die Datenschutzkommission wies für 1991 - 1993 sechs (!) Systemprüfungsverfahren im öffentlichen Bereich aus, 18 Verfahren sind offen, Tendenz der unerledigten Fälle steigend.
ä Bundeskanzler Vranitzky delegiert IT-Sicherheitsfragen in seiner Alpbachrede (15)# an den Datenschutzrat.
ä Im öffentlichen Bereich kann insoweit von einer gewissen Einheitlichkeit in der 'Sicherheitspolitik' gesprochen werden, als alle öffentlich-rechtlichen Datenverarbeiter ihre IT-Aktivitäten in sogenannten Datenschutzverordnungen beschreiben müssen.
Insgesamt erwiesen sich einschlägige Gespräche und Anfragen, mit denen nach etwaigen, der ARGE DATEN bislang unbekannten Einrichtungen geforscht wurde, als wenig ergiebig. Es muß daher offen bleiben, ob nicht weitere Firmen und private Initiativen (im Sinne von IT-Sicherheits-Qualitätszirkeln)unberücksichtigt blieben, die eine österreichische IT-Sicherheitspolitik vorantreiben.
Der Autor ist hier an entsprechenden Rückmeldungen sehr interessiert und wird sie auch entsprechend umfassend vorstellen und würdigen.
Warum eine österreichische Sicherheitspolitik?
Angesichts des enormen internationalen Konzentrationsprozesses in Sachen security-policy könnte man sehr leicht zur Ansicht gelangen, es sei völlig sinnlos und stelle eine reine Verschwendung knapper Ressourcen dar, wenn eigenständige österreichische Sicherheitslösungen versucht würden.
Zum einen ist dieser Internationalisierungsprozeß nicht abgeschlossen, eingebrachte Interessen, welcher Art auch immer, haben die Chance berücksichtigt zu werden, andererseits will jede noch so detaillierte Sicherheitsrichtlinie 'gelebt' werden. In der Interpretation einzelner Sicherungsverfahrengibt es große Handlungsspielräume, die es zu nutzen gilt. Genau diesen Weg ist Deutschland mit der Schaffung des BSI (Bundesamt für Sicherheit in der Informationstechnik) mit 250 Mitarbeitern gegangen.
Tatsächlich manifestiert dieser Prozeß zur Internationalisierung nur eine vielfach verdrängte Dialektik. Gerade weil der Diskussionsprozeß so extrem breit angelegt ist, ist es notwendig, die lokalen Interessen koordiniert zu vertreten. Damit soll sichergestellt werden, daß lokale Bedürfnisse,bewährte Rechtsgüter (z.B.: verfassungsmäßig garantierte Rechte, wie das Briefgeheimnis) oder auch nur bewährte Gewohnheiten berücksichtigt werden.
In welchen Bereichen soll nun eine eigenständige Sicherheitspolitik vorangetrieben werden? Betrachtet man die Dimensionen Technik, Wirtschaft, Politik und Soziales, dann ergibt sich sicher der geringste Aktionsbedarf in der Dimension Technik/Normung. Sinnvolle IT-Sicherheitskonzepte werden nur durchinternationale Normung zu erzielen sein. Aber auch hier ist die gestaltende Rolle und aktive Mitarbeit Österreichs gefragt, und sei es nur um sich den Zugang zu (kryptographischem) Sicherungs- Knowhow zu sichern.
Wesentlich wichtiger ist eine eigenständige Sicherheitspolitik aus wirtschaftlichen Überlegungen. Gerade kleine und mittlere IT-Produzenten benötigen eine nahegelegene Anlaufstelle, um jene Zertifizierungen zu erlangen, die sie sowohl regional, als auch international konkurrenzfähig machen.
Für die Politik wie das nationale Recht bedeutet eine durchgängige, auf möglichst breiten Konsens beruhende IT-Sicherheitspolitik auch einen ganz wesentlichen Beitrag zur Rechtssicherheit. Nur wenn ein Konsument darauf vertrauen kann, daß private Daten tatsächlich privat sind, daß telematischangebotene Waren tatsächlich die angebotenen Eigenschaften haben und daß elektronische Banküberweisungen auch tatsächlich fälschungssicher ihr Ziel erreichen, wird er bereit sein, die neuen Techniken in breitem Umfang zu nutzen. Dazu benötigt der Betroffene auch eine lokal orientierte Einrichtung,die ihm im Konfliktfall mit (international agierenden) IT-Produzenten und Telekom-Service-Providern (sei es bei der Telefonrechnung, beim Home-Shopping, ...) als objektive Beratungsstelle zur Seite steht.
Im Bereich Soziales kommt einer aktiven IT-Sicherheitspolitik eine eminente Rolle im Ausbau des Vertrauens zwischen Nutzern und Anbietern von Informationstechnik zu. Hier wird es auch darauf ankommen, erworbene soziale Standards zu sichern, und auch in ein umfassendes Sicherheitskonzept einfließenzu lassen.
So verlangt etwa der Einsatz wirksamer kryptographischer Verfahren geradezu nach einer nationalen Interpretation. Es bestehen bezüglich der Einsatzmöglichkeit von Verschlüsselungsverfahren und den Abhörrechten große nationale Unterschiede (16)#, die auch unterschiedliche soziale Standards im Umgangmit den Staatsbürgern signalisieren. Eine passive österreichische Haltung kann hier sehr leicht zum Verlust von verfassungsmäßigen Rechten führen.
Zur Unterstützung dieser Bestrebungen sind sowohl unabhängige Beratungsstellen, als auch ein Markt freier Berater vorstellbar.
Anmerkungen:
1.) Mit der Senior Officials Group for Information systems Security (SOG-IS) hat die EU eine Gruppe geschaffen, die vorrangig IT-Sicherheitsfragen behandeln soll. Österreich ist durch einen Beamten aus dem Bundeskanzleramt vertreten.
2.)# BK Vranitzky delegiert in seiner Alpbachrede die Lösung von IT-Sicherheitsfragen an den Datenschutzrat.
3.)# Alle öffentlich-rechtlichen Einrichtungen sind verpflichtet, ihre IT-Aktivitäten über sog. Datenschutzverordnungen zu beschreiben, die auch Sicherheitsaspekte beinhalten.
4.)# Gemäß Ministeriengesetz 1986 fallen die 'Koordination in Angelegenheiten der elektronischen Informationsübermittlung' in den Bereich des Bundeskanzleramtes.
5.)# Jeder hat heute genügend Phantasie, sich vorzustellen, welche wirtschaftlichen Konsequenzen zu spät durchgeführte bzw. nicht durchgeführte Überweisungen oder überzogene Konten haben.
6.)# Das BSI rechnet bei Mainframe-Betriebssystemen mit Evaluationszeitenräumen von 12 - 24 Monaten, bei Beteiligung von 3-6 Personen mit je 50% Arbeitskapazität (dies ergibt einen Durchschnittswert von 36 MM!)
7.)# Senior Officials Group for Information Systems Security (SOG-IS): Entschließung 92/242/EEC 'An evaluation of the progress achieved during the initial period shall be carried out for the Commission by a group of independent experts. This group`s report, together with any comments by theCommission, shall be submitted to the European Parliament and the Council.'
8.)# 1993 wurde die ITSEC-Sicherheitspolitik durch die Herausgabe eines ITSEM (security evaluation manual) konkretisiert.
9.)# Entwurf Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (SYN 287), Das europäische Parlament und der Rat der europäischen Union 6285/2/94 REV 2 (54 S /1994).
Kommission der Europäischen Gemeinschaft, geänderter Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz personenbezogener Daten und der Privatsphäre in digitalen Telekommunikationsnetzen, insbesondere im diensteintegrierenden digitalen Telekommunikations- unddigitalen Mobilfunknetzen (gemäß Artikel 189 A, Absatz 2 des EG-Vertrages von der Kommission vorgelegt), KOM(94) 128 endg.-COD 288 (29 S /1994).
Beschluß des Rates vom 31. März 1992 auf dem Gebiet der Sicherheit von Informationssystemen (92/242/EWG; ABl. L123/19, 08.05.92).
Amt für amtliche Veröffentlichungen der Europäischen Gemeinschaften [Hrsg.], Vorschlag für eine Richtlinie des Rates über den rechtlichen Schutz von Datenbanken (SYN 393) (1992).
Beschluß des Rates vom 22. Dezember 1986 über die Normung auf dem Gebiet der Informationstechnik und der Telekommunikation (87/95/EWG;ABl. L36/31, 07.02.86).
10.)# Im Februuar 1995 kommt es nach mehrjähriger Verzögerung zur Verabschiedung der EG-Richtlinie Datenschutz
11.)# Mit (i) ... werden die entsprechenden Prüf-Hypothesen angeführt.
12.)# In einem Follow-Up gaben rund 20 persönlich angesprochene Verantwortliche bekannt, daß sie ihre Sicherheit dadurch am besten gewährleistet sehen, indem sie keine Auskunft über Sicherheitspolitik geben.
13.)# KES, Zeitschrift für Kommunikations- und EDV-Sicherheit, 4/92 Juli: 'Sicherheitsenquete 1992 - SO sehen DV-Betreiber ihre Sicherheit' S267-288
14.)# Zu berücksichtigen ist dabei, daß mehrere Datenverarbeiter die Beantwortung der intern tatsächlich umgesetzten Datensicherungsmaßnahmen ausdrücklich verweigerten.
15.)#Weichenstellung für ein Digitales Österreich, Rede von Bundeskanzler Dr. Franz Vranitzky bei den Alpbacher Technologiegesprächen 1994, Alpbach, 25. August 1994
16.)# Während in Österreich das Abhören von Telefongesprächen an richterliche Bewilligungen gebunden ist, kann in Großbritannien oder in Frankreich ein derartiger Einsatz polizeilich angeordnet werden. In Frankreich wiederum ist der Einsatz von Verschlüsselungssystemen an Bewilligungen desMinisterrats gebunden. Wobei Private noch nie eine derartige Bewilligung erhalten haben.
Anhang:
Literaturstellen IT-Sicherheitsevaluation
1. Liste von Evaluationshandbüchern (Beispiele):
Amt für amtliche Veröffentlichungen der EG [Hrsg.], Information Technology Security Evaluation Manual (ITSEM), Provisional Harmonized Methodology (1994). EIGENVERLAG 2985 Luxembourg, 1994.
ARTNER, S., Arbeitshandbuch für die Revision von EDV-Systemen (1991). ORAC VERLAG GESMBH., 1051 WIEN, Schönbrunner Str. 59-61, 1991.
BSI Bundesamt für Sicherheit in der Informationstechnik [Hrsg.], IT-Sicherheitshandbuch: Handbuch für die sicherer Anwendung der Informationstechnik, V1.0 (1992). EIGENVERLAG D-W-5300 Bonn 2, 1992.
Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) [Hrsg.], Datenschutz und Datensicherung im Unternehmen, Arbeitshilfe für die betriebliche Praxis (1992). EIGENVERLAG D-W-5300 Bonn 1, 1992.
Pohl, H., Einführung in die Informationssicherheit, Sicherheit in der Informationstechnik, Handbuch 1 (1993). VERLAG R. OLDENBOURG GMBH., 81671 MÜNCHEN, Rosenheimer Str. 145, Postfach 801360, 1993.
U.S. Department of Commerce National Technical Information Service [Hrsg.], Department of Defense trusted Computer System Evaluation Criteria (Orange Book) (1985). EIGENVERLAG, 1985.
ZSI-Zentralstelle für Sicherheit in der Informationstechnik [Hrsg.], IT-Evaluationshandbuch: Handbuch für die Prüfung der Sicherheit von Systemen der Informationstechnik (IT) (1990). VERLAG DES BUNDESANZEIGERS GMBH., 50667 KÖLN, Breitestr. 78-80, 1990.
ZSI-Zentralstelle für Sicherheit in der Informationstechnik [Hrsg.], IT-Sicherheitskriterien: Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (IT) (1989). VERLAG DES BUNDESANZEIGERS GMBH., 50667 KÖLN, Breitestr. 78-80, 1989.
Common Criteria Outline (Draft) V0.2, Information Technology Security Evaluation Common Criteria ( CCEB-93/036/1993). EIGENVERLAG
Conceptual Framework for Common Criteria V1.1, Information Technology Security Evaluation Common Criteria ( CCEB-93/035/1993). EIGENVERLAG
DG XIII: Telekommunications, Information Market and Exploitation of Research [Hrsg.], Green Paper on the Security of Information Systems (1994). EIGENVERLAG 1049 Brussels
Amt für amtliche Veröffentlichungen der EG [Hrsg.], Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC) (1991). EIGENVERLAG 2985 Luxembourg
2. Evaluationsberichte und Empfehlungen für Anwender
BROBEIL, H., Pohl, H., Weck, G. [Hrsg.], Software-Angriffe auf PCs und Netzwerke, Gefahren, Abwehrmaßnahmen und rechtliche Aspekte (1992). (Reihe: Sicherheit in der Informationstechnik). VERLAG R. OLDENBOURG GMBH., 81671 MÜNCHEN, Rosenheimer Str. 145, Postfach 801360, 1992.
Dr. Schrader, Hamburger Datenschutzbeauftragter [Hrsg.], Datenschutzkonzept für PC, Einzelplatzsysteme, Lokale Netze, PC-Host-Kopplung (1991). (Reihe: Hamburger Datenschutzhefte). EIGENVERLAG, 1991.
Essen, Felzmann et.al. [Hrsg.], Sicherheit des Betriebssystems VMS (1991). (Reihe: Sicherheit in der Informationstechnik - Studien des BSI). VERLAG R. OLDENBOURG GMBH., 81671 MÜNCHEN, Rosenheimer Str. 145, Postfach 801360, 1991.
FAUST, H., Pohl, H., Weck, G. [Hrsg.], Datenschutz und Arbeitsplatzrechner (1991). (Reihe: Sicherheit in der Informationstechnik). VERLAG R. OLDENBOURG GMBH., 81671 MÜNCHEN, Rosenheimer Str. 145, Postfach 801360, 1991.
Kersten (BSI-Bundesamt für Sicherheit in der Informationstechnik), Kreutz (BSI-Bundesamt für Sicherheit in der Informationstechnik) [Hrsg.], Sicherheit unter dem Betriebssystem Unix (BSI) (1991). (Reihe: Sicherheit in der Informationstechnik - Studien des BSI). VERLAG R. OLDENBOURG GMBH., 81671MÜNCHEN, Rosenheimer Str. 145, Postfach 801360, 1991.
Kersten (BSI-Bundesamt für Sicherheit in der Informationstechnik), Weinand (BSI-Bundesamt für Sicherheit in der Informationstechnik) [Hrsg.], Sicherheitsaspekte bei der Vernetzung von Unix-Systemen (1991). (Reihe: Sicherheit in der Informationstechnik - Studien des BSI). VERLAG R. OLDENBOURG GMBH.,81671 MÜNCHEN, Rosenheimer Str. 145, Postfach 801360, 1991.
Kersten (BSI-Bundesamt für Sicherheit in der Informationstechnik), Weinand (BSI-Bundesamt für Sicherheit in der Informationstechnik) [Hrsg.], Sicherheitseigenschaften der Betriebssysteme 386/ix und SCO-Unix (1991). (Reihe: Sicherheit in der Informationstechnik - Studien des BSI). VERLAG R.OLDENBOURG GMBH., 81671 MÜNCHEN, Rosenheimer Str. 145, Postfach 801360, 1991.
Schläger, U., Datenschutz in Netzen, Hamburger Datenshcutzhefte (1994). (Reihe: Hamburger Datenschutzhefte). EIGENVERLAG, 1994.
BSI Bundesamt für Sicherheit in der Informationstechnik [Hrsg.], Evaluationsbericht zu Guardian 90 Version C 20, Safeguard Version C 22L, (1991). EIGENVERLAG D-W-5300 Bonn 2
BSI Bundesamt für Sicherheit in der Informationstechnik [Hrsg.], Evaluationsbericht zu Safe-Guard Professional Version 3.1 Z, (1991). EIGENVERLAG D-W-5300 Bonn 2
Zentralstelle für das Chiffrierwesen [Hrsg.], Zertifizierungsbericht zu PC-Encryptor Z, (1988). EIGENVERLAG D-W-5300 Bonn 2
Zentralstelle für das Chiffrierwesen [Hrsg.], Zertifizierungsbericht zu PC-Softlock, (1988). EIGENVERLAG D-W-5300 Bonn 2
[Anm.: Die Angaben der letzten Zeile bei den einzelnen Publikationen beziehen sich auf die AD-interne Ablage und die intern verwendeten Stichworte. Sofern die Literatur nicht allgemein verfügbar ist, können ARGE DATEN - Mitglieder die angegebenen Dokumente gegen Kopierkostenersatz anfordern.]
|
