Tätigkeitsbericht 1999
Startseite

Wir über uns und Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Adressen von Datenschutzbehörden
Materialien
Service und Verweise
Datenschutz nach Themen

Jahresbericht 1999
des Berliner Beauftragten für Datenschutz und Akteneinsicht

Zur Inhaltsübersicht Zur Inhaltsübersicht   Zurück Zurück   5. Telekommunikation und Medien 5. Telekommunikation und Medien

4.8 Organisation und Technik


4.8.1 Verschlüsselung im Berliner Landesnetz - eine unendliche Geschichte?


Es war zu Beginn des Jahres 1994, als bei den Planungen zum Berliner Landesnetz zwei Datenschützer schon beim ersten Treffen darauf hinwiesen, dass personenbezogene Daten bei der Übertragung vor unbefugter, auch unabsichtlicher, Kenntnisnahme, Veränderung oder Löschung zu bewahren sind. So verging Jahr um Jahr, Kabel um Kabel wurde gezogen, eine um die andere Verwaltung wurde an das Landesnetz angeschlossen und es wurden fleißig Daten übertragen. Unsere regelmäßigen Hinweise auf ein Verschlüsselungsgebot wurden zwar kopfnickend zur Kenntnis genommen, jedoch verschlüsselt wurden die personenbezogenen Daten nicht. So kam dann das Jahr 1999. Sollte nun etwa alles anders werden?

Erst jetzt erfolgte eine Ausschreibung für ein verfahrenübergreifendes und anwendungsunabhängiges Verschlüsselungsprodukt für das Berliner Landesnetz durch den Landesbetrieb für Informationstechnik (LIT). Im Anschluss an die Ausschreibung wurden zwei Produkte ausgiebig getestet.

Das cryptSSL-Verfahren der Firma Giesecke & Devrient basiert auf einem symmetrischen Verschlüsselungsverfahren (die Ver- und Entschlüsselung von Daten basiert hierbei auf ein und demselben Schlüssel) mit einer Schlüssellänge von 128 Bit. Die Voraussetzungen für eine genügend sichere Datenübertragung wären damit gegeben. Leider konnte dieses Produkt nicht erfolgreich mit dem Berliner Haushaltsverfahren ProFiskal und dem auf SAP R/3 basierenden Personalverfahren IPV getestet werden.

Den Zuschlag in dem Ausschreibungsverfahren erhielt das Produkt SunScreen SKIP der Firma Sun Microsystems. Dieses Verfahren basiert auf dem wohl bekanntesten symmetrischen Verschlüsselungsverfahren DES (Data Encryption Standard) und konnte erfolgreich mit den Berliner Großverfahren getestet werden. Der DES-Algorithmus arbeitet standardmäßig mit einer Schlüssellänge von 56 Bit. Das Produkt SunScreen SKIP unterliegt jedoch den amerikanischen Exportbeschränkungen für Waffenlieferungen und darf daher in Deutschland nur mit einer Schlüssellänge von 40 Bit eingesetzt werden, eine Schlüssellänge, die einem Brute-Force-Angriff (computergestütztes Ausprobieren aller möglichen Schlüssel) mit leistungsstarken Rechnern nur kurze Zeit standhält: Ein Rechner, der für die Ermittlung eines 56-Bit-Schlüssels im Mittel 30 Tage benötigt, errechnet einen 40-Bit-Schlüssel im Mittel in 40 Sekunden. Ein Antrag auf eine Ausnahmegenehmigung für eine Schlüssellänge von 56 Bit ist zwar möglich, jedoch dauert die Bewilligung einerseits 8 - 12 Monate. Andererseits werden die die Sicherheit erhöhenden 16 Bit mehr an Schlüssellänge bei der NSA (National Security Agency) in den USA hinterlegt, so dass zumindest dieser Nachrichtendienst Zugang zu den Daten erhalten kann.

Auch das Bundesamt für Sicherheit in der Informationstechnik hat bereits 1994 darauf hingewiesen, dass selbst eine Schlüssellänge von 56 Bit angesichts der Entwicklung schnellerer Rechner für künftige Verfahren nicht mehr zu empfehlen ist und stattdessen auf Verfahren wie z. B. Triple-DES (dreimaliges Anwenden des DES-Algorithmus mit zwei verschiedenen Schlüsseln) mit der Schlüssellänge von 112 Bit zurückgegriffen werden sollte.

Gleichwohl haben wir uns bisher darauf beschränkt, für die gängigen personenbezogenen Anwendungen eine 56-Bit-Verschlüsselung zu fordern, weil angenommen wird, dass die im Berliner Landesnetz zu übertragenen Daten keine solche Begehrlichkeiten wecken, dass von Angreifern der notwendige Aufwand betrieben wird, um diesen Schlüssel anzugreifen.

Diese Annahmen werden zunehmend brüchig und können angesichts der technischen Entwicklung nur noch für beschränkte Zeit als gültig angesehen werden. So wurde mittlerweile bekannt, dass Daten über Empfänger sozialer Transferleistungen bei Unternehmen hohe Begehrlichkeiten wecken, die auf die Beschaffung von Daten über die Kreditwürdigkeit spezialisiert sind. Ferner ist bekannt, dass Wirtschaftsspionage ein wesentliches Motiv zur "Überwachung" des Datenverkehrs darstellt. Daher halten wir symmetrische Verfahren nur für zukunftssicher, wenn die Schlüssellänge mindestens 112 oder 128 Bit beträgt. Mit 56-Bit-Verschlüsselungen dürfte man professionellen Angriffen nicht mehr lange entgegenwirken können.

Die 40-Bit-Verschlüsselung hilft also nur gegen die unbeabsichtigte und beiläufige Kenntnisnahme des Datenverkehrs. Sensible Daten, die die Begehrlichkeit Dritter wecken, können damit nicht wirksam geschützt werden. Aus diesem Grunde hat es uns überrascht, dass der Landesbetrieb für Informationstechnik dieses Verschlüsselungsverfahren im Ergebnis einer Ausschreibung überhaupt erprobt hat.

Mittlerweile wird ein deutsches Verschlüsselungsprodukt für den Einsatz im Berliner Landesnetz getestet. Dieses Produkt kann mit verschiedenen symmetrischen Verschlüsselungsalgorithmen und einer Schlüssellänge von bis zu 168 Bit arbeiten. Der Erprobungsbericht zu diesem Test liegt vor und endet mit dem Satz:

"Das Produkt SafeGuard VPN wird für den Einsatz im Land Berlin empfohlen. Der LIT wird auf dieser Grundlage einen Infrastrukturdienst VPN aufbauen, mit dem eine authentisierte und verschlüsselte Kommunikation sowohl innerhalb des Berliner Landesnetzes (MAN) als auch über Anbindungen von Fremdnetzen realisiert wird."

Nun scheint die Geschichte doch noch ein gutes Ende zu nehmen.


4.8.2 MS-Windows NT


Das Betriebssystem MS-Windows NT ist sehr verbreitet. Grundsätzlich bietet Windows NT eine recht gute Abdeckung der Sicherheitsanforderungen. Mit der Auslieferung an den Nutzer ist das Betriebssystem jedoch auf einen möglichst unbeschränkten Zugriff ausgelegt. Dies bedeutet, dass der Nutzer das Betriebssystem erst an seine Sicherheitsbedürfnisse anpassen muss. Hier können Sicherheitsprobleme entstehen, wenn der Anwender z.B nicht über ausreichende Fachkenntnisse verfügt. Zudem werden immer wieder Sicherheitslücken in Windows NT entdeckt.

Die Risiken bestehen in:

  • Ausspähen, Manipulation und Missbrauch von Informationen,
  • Social Engineering oder andere Passwortattacken,
  • Abhören von Netzwerkleitungen z. B. durch den Einsatz von Sniffern,
  • Sabotage des Informationssystems vor Ort oder über Kommunikationsnetze.

Vor der Implementierung müssen Entscheidungen z. B. zum Netzaufbau - Domänenmodell mit evtl. einzurichtenden Vertrauensstellungen - oder die Einrichtung von Gruppen und Nutzern mit entsprechender Rechtevergabe auf Objekte oder Verzeichnisse bzw. Dateien getroffen werden.

Vor dem Starten des Betriebssystems kann durch Aktivierung des BIOS-Passwortes - nur nach Eingabe dieses Passwortes startet der Rechner - die erste Sicherheitsvorkehrung getroffen werden.

Geeignete Maßnahmen, die das Starten eines anderen Betriebssystems oder den zusätzlichen Einsatz von Manipulationsprogrammen, die die Sicherheitseinstellungen des Betriebssystems aushebeln, verhindern, sind:

  • die Sicherung des Rechner-Gehäuses und der Schnittstellen für externe Geräte, z. B. durch Verplombung,
  • die Vermeidung der Installation weiterer Betriebssysteme,
  • der Schutz der Disketten-, CD-ROM- oder anderer externer Speichermedienlaufwerke, die ein Booten von selbigen zulassen, z. B. durch Laufwerksschlösser,
  • das Setzen des Boot-Timeouts auf 0 Sekunden.

Als Dateisystem sollte ausschließlich NTFS eingesetzt werden, da hiermit die "erweiterten" Sicherheitsfunktionen von Windows NT aktiviert werden, die den Zugriff auf Dateien und Verzeichnisse über die Zugriffskontrollliste steuern.

Das Betriebssystem kann aufgrund seines Sicherheitssystems bei entsprechender Ausgestaltung der vorgesehenen Identifizierung und Authentifizierung, verbunden mit der Einrichtung von nutzerspezifischen Zugriffsrechten bzw. Berechtigungen, ein entsprechendes Sicherheitsniveau bieten. Diese Einstellungen sind bei Berücksichtigung der Möglichkeit z. B. des expliziten Durchreichens von Login-Anforderungen an weitere Windows NT-Systeme sensibel zu vergeben. Rechte sollten zuerst so weit wie möglich eingeschränkt werden, um diese z. B. bei speziellen Anforderungen zu erweitern.

Hierbei sind jedoch für den Einsatz von Identifizierungs- und Authentifizierungs-mechanismen dem Schutzzweck entsprechende Mindestanforderungen zu stellen.

Dies bezieht sich insbesondere auf Festlegungen zur Passwortgestaltung, wie z. B.:

  • Mindestlänge (>=
    • 6 Zeichen), der Administrator mindestens 10 Zeichen,
  • alphanumerischer Zeichenmix,
  • zwangsweiser zyklischer Passwortwechsel,
  • Zulassen bereits benutzter Passwörter erst nach mehreren Wechseln[160].
Nicht allein die Passwortgestaltung ist wichtig, sondern auch die der Benutzerkonten.

Folgende Eigenschaften sollten aktiviert werden:

  • Der Nutzer muss sein Passwort ändern können, damit ein regelmäßiger Wechsel erfolgen kann.
  • Das so genannte Einstiegspasswort, welches der Administrator vergibt, muss sofort gewechselt werden können.
  • Das Konto sollte nach mehrmaligen Fehlversuchen gesperrt werden, damit evtl. Einbruchsversuche unterbunden werden können.

Mit dem Benutzerprofileditor und Anmeldeskripten können weitere Einschränkungen für den Nutzer vorgenommen werden.

Die Zugriffsrechte auf zu vergebende Ressourcen werden mit den folgenden Tools vergeben:

  • Datei-Manager,
  • Druck-Manager,
  • Benutzermanager für Domänen und
  • Benutzerprofileditor.

Weil immer wieder neue Sicherheitslöcher entdeckt werden, sollten die angebotenen Servicepacks bzw. Patches regelmäßig installiert werden, da hierdurch entdeckte Sicherheitslücken des Betriebssystems geschlossen werden. Da die Installation von diesen "Lückenfüllern" jedoch teilweise die Rechte wieder in den unsicheren Erstinstallationszustand zurücksetzt, muss eine erneute Kontrolle aller bis dahin durchgeführten Rechtevergaben erfolgen.

Vordefinierte Konten wie z. B. "Gast" sollten deaktiviert bzw. überprüft werden, ob hier zu viele Rechte vergeben wurden. Der "Administrator"-Account sollte umbenannt werden, da ansonsten bei Hackversuchen ein erhöhtes Sicherheitsrisiko - etwa durch eine unbegrenzte Anzahl von Anmeldeversuchen - besteht. Auch sollte z. B. die Gruppe "Jeder" gelöscht bzw. deren Rechte so weit wie möglich eingeschränkt werden, da bei Zugriffsberechtigung dieser Gruppe auf ein Objekt auch Nutzer ohne Account darauf zugreifen können. Sollte dies zu Problemen führen, so sollte zumindest der Account "Jeder" durch die zugelassenen Benutzer ersetzt werden.

Darüber hinaus sollten die eingestellten Dienste, die nicht benötigt werden, deaktiviert und der Zugriff auf die Registry und das Systemverzeichnis (nur lesender Zugriff) eingeschränkt werden:

Die Protokollierung sollte genutzt werden, da hiermit Einbruchsversuche in das System festgestellt werden können. Hierfür sind jedoch vorherige sorgfältige Überlegungen notwendig, da eine ausufernde Protokollierung sicherheitsrelevante Ereignisse nicht mehr kenntlich macht oder nur zur vorzeitigen Füllung der vorgesehenen Speicherkapazitäten führt.

Durch den Einsatz von Zusatzprodukten können die Laufwerke und Schnittstellen des Rechners relativ sicher geschützt werden. Dies ist gerade beim Diskettenlaufwerk empfehlenswert, da ansonsten ein großes Gefährdungspotential für das IT-System bestehen würde. So können unbemerkt Kopien von Datenbeständen gezogen werden, die sich jeder weiteren Kontrolle entziehen. Auch das unbemerkte Einspielen von Tools ist möglich, was zu Manipulationen von Programmen oder Daten genutzt werden könnte.

Die Hard- und Softwarekonfiguration sollte sorgfältig dokumentiert und ständig aktualisiert werden. Dies gilt natürlich auch für die eingestellten Sicherheitsmaßnahmen. Eine ausführliche Dokumentation kann im Schadensfall bei der Behebung verschiedenster Fehler sehr zur Unterstützung beitragen.

Ein guter Systemadministrator sollte typische Hacker-Angriffstechniken kennen, damit er sich gut gegen diese schützen kann. Z. B. kann das Ausspähprogramm "L0phtCrack" durch Auslesen der Sicherheitskontenbank eines NT-Systems Passwörter ausspähen, dies setzt jedoch eine gültige Kennung und Passwörter in Verbindung mit Administratorenrechten voraus.

Folgende kostenlose Newsletter bzw. Internetseiten geben den Systemadministratoren weitere Hinweise:




schutz Nr. 25, 2. Auflage 1999, Anlage 2
  
Seitenanfang
Zur Inhaltsübersicht Zur Inhaltsübersicht   Zurück Zurück   5. Telekommunikation und Medien 5. Telekommunikation und Medien
 Letzte Änderung:
 am 01.03.2000
E-Mail an den Webmaster