III. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.1995 - 31.03.1997
13.1 Anschluß von Verwaltungsnetzen an das INTERNET
Die Landesverwaltung nutzt das Internet bereits heute zur Informationsdarstellung von Themen aus dem Umweltbereich, dem Statistikbereich und zur Präsentation des Landes Sachsen-Anhalt. Solange diese Informationen keinen Personenbezug besitzen und die separat betriebenen WWW-Server nicht in das lokale automatisierte Verwaltungsnetz einer öffentlichen Stelle eingebunden sind, bestehen gegen diese Form der Nutzung keine datenschutzrechtlichen Bedenken. Auch eine Informationsbeschaffung aus dem Internet mittels lokal angeschlossener PC birgt zunächst nur Gefahren für den einzeln angeschlossenen PC in sich.
Seit einiger Zeit verstärkt sich aber in öffentlichen Stellen der Wunsch nach einem generellen Zugang zu diesem globalen Datennetz. Die Netzanbindung soll sowohl zur Informationsgewinnung als auch zur Bereitstellung eigener Informationen für andere dienen.
Bevor eine öffentliche Stelle einen solchen Zugang zum Internet schafft, muß sie eine Analyse des Kommunikationsbedarfs durchführen. Bei der Beurteilung der rechtlichen Erforderlichkeit eines Internet-Anschlusses ist - jedenfalls wenn datenschutzrechtliche Belange berührt sind - ein strenger Maßstab anzulegen. Auch wenn die Erforderlichkeit generell bejaht wird, ist zu prüfen, ob der Verwendungszweck nicht schon durch den Anschluß eines isolierten Rechners erreicht werden kann, um die Risiken für die Datensicherheit zu minimieren.
Die Art des technisch zu realisierenden Zugangs hängt wesentlich davon ab, welche Internet-Dienste genutzt werden sollen. Dabei ist zu unterscheiden zwischen Diensten, die von lokalen Benutzern im Internet abgerufen werden, und Diensten, die von lokalen Rechnern für Benutzer im Internet erbracht werden. Diese Kommunikationsanforderungen müssen auf Grund der unterschiedlichen Aufgaben sowohl für den zentralen Zugang zum Internet als auch für jeden einzelnen Rechner analysiert werden. Es dürfen nur die IP-Pakete weitergeleitet werden, die für den zu nutzenden Dienst bezogen auf den nutzungsberechtigten Rechner notwendig sind.
Wird bei der Analyse des Kommunikationsbedarfs festgestellt, daß die Anbindung an das Internet auf IP-Ebene notwendig ist, das TCP/IP-Protokoll also in seiner vollen Funktionalität genutzt werden soll, müssen weitere Sicherheitsbetrachtungen folgen, die Voraussetzung für die Planung und Realisierung von Sicherheitskonzepten sind. Ausgangspunkte einer derartigen Risikoanalyse sind der Schutzbedarf der zu verarbeitenden personenbezogenen Daten und die Sicherheitsziele der öffentlichen Stelle.
Es gilt der Grundsatz: Nichts ist sicher im Internet! Die Sicherheitsrisiken der Nutzung resultieren daraus, daß das Internet nicht unter Sicherheitsaspekten entwickelt wurde. Schwächen finden sich in den Protokollen für die Datenübertragung, in den Implementierungen und Installationen der Programme für die Internet-Dienste und in den angeschlossenen Rechnersystemen.
Hierzu gehören z.B. das Fehlen sicherer Mechanismen zur Identifikation und Authentisierung im Netz. Ohne besondere Schutzmaßnahmen kann sich ein Angreifer oft mit wenig Aufwand unter Ausnutzung der Sicherheitslücken unberechtigten Zugang zu fremden Rechnern verschaffen und dort Daten ausspähen, manipulieren oder zerstören. Dies ist besonders gravierend, weil angesichts von z. Zt. schon mehr als 40 Millionen Internet-Teilnehmern die Zahl der Angreifer sich täglich vermehrt.
Eine vom Arbeitskreis "Technische und organisatorische Datenschutzfragen" der Datenschutzbeauftragten des Bundes und der Länder erarbeitete Orientierungshilfe soll den öffentlichen Stellen eine Hilfestellung bieten. Die Orientierungshilfe soll den für den Betrieb von Netzen der öffentlichen Verwaltung Verantwortlichen deutlich machen, mit welchen Risiken für die Sicherheit der "internen" Netze bei einem Anschluß an das Internet zu rechnen ist und wie diese Risiken begrenzt werden können.
Die nachfolgenden Empfehlungen sind Bestandteil der o.g. Orientierungshilfe, die wegen ihres Umfanges in diesem Bericht nicht abgedruckt, aber beim Landesbeauftragten abgefordert werden kann.
- Verwaltungsnetze dürfen an das Internet nur angeschlossen werden, wenn und soweit dies erforderlich ist. Die Kommunikationsmöglichkeiten haben sich am Kommunikationsbedarf zu orientieren. Dabei ist auch zu prüfen, inwieweit das Behördennetz in anschließbare, nicht anschließbare und bedingt anschließbare Teile segmentiert werden muß, und ob die Aufgabe mit einem nicht in das Verwaltungsnetz eingebundenen Rechner erfüllt werden kann.
- Voraussetzung für die Anbindung eines solchen Netzes an das Internet ist das Vorliegen eines schlüssigen Sicherheitskonzepts und dessen konsequente Umsetzung. Die Internet-Anbindung darf nur erfolgen, wenn die Risiken durch technische und organisatorische Maßnahmen wirksam beherrscht werden können.
- Die Sicherheit des Verwaltungsnetzes und der Schutz von personenbezogenen Daten, die auf vernetzten Systemen verarbeitet werden, ist durch geeignete Firewall-Systeme sicherzustellen, die eine differenzierte Kommunikationssteuerung und Rechtevergabe unterstützen. Dabei sind die Anforderungen, die von den Firewall-Komponenten zu erfüllen sind, vorab zu definieren, wobei sich die Verwaltung ggf. auch externen Sachverstandes bedienen sollte. Auch hier gilt: Es gibt bislang keine absolut sicheren Firewall-Systeme!
- Der Gefahr von Maskeraden-Angriffen und der Ausforschung der Netzstrukturen des zu schützenden Netzes ist durch die Verwendung einer gesonderten internen Adreßstruktur entgegenzuwirken. Die internen Adressen des zu schützenden Netzes sind durch den zentralen Firewall auf externe Internet-Adressen umzusetzen.
- Der ausschließliche Einsatz einer zentralen Firewall-Lösung ist nur dann vertretbar, wenn eine Orientierung am höchsten Schutzbedarf erfolgt, auch wenn dies Nachteile für weniger sensible Bereiche mit sich bringt. Die Frage der Kontrolle interner Verbindungen bleibt bei einer solchen Lösung offen. Ferner ist eine ausschließlich zentrale Lösung mit der Maxime der lokalen Haltung und Verwaltung von sicherheitsrelevanten Daten (Pflege von Benutzerprofilen) schwer vereinbar. Werden solche Daten nicht durch diejenigen verwaltet, die den verwalteten Bereich direkt überschauen können, besteht die Gefahr erheblicher Differenzen zwischen der Realität und ihrem sicherheitstechnischen Abbild.
- Das Konzept gestaffelter Firewalls kommt den Datenschutzanforderungen an Verwaltungsnetze entgegen, die aus einer Vielzahl verschiedener Teil-netze bestehen, in denen Daten unterschiedlicher Sensibilität von unterschiedlichen Stellen für unterschiedliche Aufgaben verarbeitet werden und in denen dementsprechend jeweils unterschiedliche Sicherheitsanforderungen bestehen. Die mit gesonderten Firewalls abgesicherten Subnetze sollten jeweils einen definierten Übergang zu dem Gesamtnetz erhalten. Die Anbindung des Gesamtnetzes an das Internet sollte stets über einen zentralen Gateway erfolgen, der durch einen Firewall geschützt wird.
- Der personelle und sachliche Aufwand für Firewall-Lösungen ist generell hoch. Es ist gleichwohl unverzichtbar, hochspezialisierte Kräfte einzusetzen, um gegen mindestens ebenso spezialisierte Angreifer gewappnet zu sein. Dieser Aufwand ist jedoch stets dann gerechtfertigt, wenn Verwaltungsnetze an das Internet angeschlossen werden sollen, in denen sensible personenbezogene Daten verarbeitet werden.
- Der Betrieb von Firewall-Systemen muß klaren Richtlinien folgen. Diese Richtlinien müssen neben Zuständigkeitsregelungen auch Vorgaben über die Protokollierung, die Behandlung von sicherheitsrelevanten Ereignissen und die Sanktionen bei Sicherheitsverstößen enthalten.
- Auch beim Einsatz von Firewalls bleiben Restrisiken bestehen, denen anwendungsbezogen begegnet werden muß. So bleibt es auch beim Einsatz von Firewalls notwendig, sensible Daten nur verschlüsselt zu speichern und zu übertragen; hierzu gehören neben besonders sensiblen personenbezogenen Daten auch Paßwörter und sonstige Authentifikationsdaten.
- Bei einem unvertretbaren Restrisiko muß auf einen Anschluß des jeweiligen Netzes an das Internet verzichtet werden. Der Zugriff auf Internet-Dienste muß in diesem Fall auf nicht in das Verwaltungsnetz eingebundene Systeme beschränkt werden, auf denen ansonsten keine sensiblen Daten verarbeitet werden.
- Firewall-Konzepte entlasten die dezentralen Verwalter von vernetzten Systemen nicht von ihrer Verantwortung zur Gewährleistung des Datenschutzes; vielmehr erhöhen sich mit der Vernetzung die Anforderungen an die lokale Systemverwaltung, da Administrationsfehler ungleich schwerwiegendere Konsequenzen haben können, als bei stand alone betriebenen Rechnern.
Gleichzeitig muß aber darauf hingewiesen werden, daß, selbst wenn Maßnahmen gegen die bekannten Gefährdungen getroffen werden, ein hundertprozentiger Schutz ohne Verzicht auf die Netzanbindung an das Internet nicht zu realisieren ist. Nachfolgende Beispiele von protokollimmanenten und dienstespezifischen Sicherheitsrisiken häufig genutzter Internet-Dienste sollen die datenschutzrechtlichen Bedenken verdeutlichen:
- Protokollimmanente Sicherheitsrisiken
Sowohl die Nutzerkennung als auch das Paßwort werden bei den gängigen Diensten im Klartext über das lokale Netz und über das Internet übertragen. Mit Programmen, die unter dem Namen "Packet Sniffer" bekannt sind, kann der Datenverkehr im Netz bzw. auf den Netzknoten belauscht und nach interessanten Informationen durchsucht werden. So können diese Abhörprogramme zahlreiche Nutzerkennungen mit den zugehörigen Paßworten ausspähen, mit deren Hilfe sich ein Angreifer einen unberechtigten Zugriff auf andere Rechner verschaffen kann.
Datenpakete können nicht nur abgehört, sondern auch manipuliert werden. Da bei vielen Internet-Diensten die Authentisierung der Rechner lediglich über die IP-Nummer des Nutzers erfolgt, kann sich dies ein Angreifer zunutze machen, indem er IP-Pakete mit gefälschten Absenderadressen an ein fremdes Rechnersystem schickt (IP-Spoofing). Sofern das System die IP-Adresse für vertrauenswürdig hält, wird dem Eindringling ein Zugang, unter Umständen sogar mit Administratorrechten, gewährt. Ferner kann der Übertragungsweg bei dynamischem Routing geändert werden. Pakete können abgefangen werden, so daß sie nicht an ihrem Ziel ankommen; ein Angreifer kann sie durch eigene Pakete ersetzen. Weiterhin läßt sich die Kommunikation eines autorisierten Nutzers aufzeichnen und später wieder einspielen, wodurch sich der Angreifer bei vielen Diensten die Rechte des Nutzers verschafft. - Dienstspezifische Sicherheitsrisiken
E-Mail und Usenet-News (Elektronisches Post- und Diskussionsforum - sog. "Schwarzes Brett"):
Private Nachrichten können mitgelesen werden, sofern sie nicht verschlüsselt sind. E-Mails und News-Artikel ohne eine digitale Signatur lassen sich leicht verändern oder fälschen. Über den elektronischen Postweg können Programme und Textdokumente mit Viren ins System gelangen. Selbst ein automatisches Durchsuchen der Nachrichten nach Viren bietet keinen vollständigen Schutz. Die Informationen über Datum und Uhrzeit der Erstellung einer Nachricht können zu einem Persönlichkeitsprofil des Absenders ausgewertet werden. Daneben forschen Adreßsammler nach E-Mail- und Post-Adressen, um unaufgefordert Werbung zuzuschicken. "Sendmail", das auf UNIX-Rechnern am häufigsten eingesetzte Programm zum Verschicken elektronischer Post, weist zudem eine ganze Reihe von sicherheitsrelevanten Fehlern auf, die zu einer Zugangsmöglichkeit mit Administratorrechten führen können. Zudem ist nicht sicherzustellen, daß eine E-Mail den Empfänger überhaupt erreicht und daß der Absender einen Nachweis der Zustellung erhält.
Telnet (Aufbau einer Terminal-Sitzung auf einem entfernten Rechner):
Ist der Telnet-Dienst nicht eingeschränkt, sondern von beliebigen Adressen aus zu beliebigen Ports auf dem eigenen Rechner möglich, wird die Zugangskontrolle gefährdet. Auch ein Angreifer, dem es nicht gelingt, sich einen Zugang mit Administratorrechten zu verschaffen, hat häufig die Möglichkeit, einen nichtprivilegierten Account auf dem Rechner zu nutzen. Dieser Account kann dann als Ausgangsbasis für den Angriff auf weitere Rechner verwendet werden.
FTP (interaktiver Dateitransfer von oder zu einem entfernten Rechner):
Schlecht gewartete FTP-Server stellen ein Risiko dar, da in älteren Versionen des FTP-Server-Programms Sicherheitslücken existieren, die zur Erlangung von Administratorrechten führen können. Besondere Vorsicht ist geboten, da viele Beschreibungen zur Installation und Konfiguration von "Anonymous-FTP"-Servern sicherheitsrelevante Fehler enthalten. Bei Fehlkonfigurationen kann es einem Angreifer gelingen, die Datei mit den verschlüsselten Paßwörtern aller Benutzer auf seinen Rechner zu laden und dort in aller Ruhe zu entschlüsseln.
WWW (multimedialer Informationsdienst; Integration von beliebigen Text-, Bild-, Ton-, Videodokumenten auf Basis HTML und mittels HTTP):
Gefährdungen entstehen bei WWW-Servern durch fehlerhafte Software oder Konfigurationen. Ohne den Einsatz von SSL (Secure Socket Layer) läßt sich die Kommunikation abhören. Außerdem weisen CGI-Skripte (Common Gateway Interface) häufig Sicherheitslücken auf. Zur Zeit sind WWW-Browser in der Entwicklung, die das Ablegen von Dateien auf dem Server erlauben. Dies kann zu weiteren Sicherheitsproblemen führen. Beim Nutzen des WWW können zahlreiche Daten über den Anwender und sein Verhalten (was hat wer wann aufgerufen und wie lange gelesen?) protokolliert werden, so daß ein umfassendes Persönlichkeitsprofil erstellt werden kann.