Sie, liebe Leserin oder Leser, halten ein Buch über IT-Sicherheit in der Hand, was zwei Gründehaben kann: Entweder Sie wollen sich über dieses Thema näher informieren, oder sie müssen.Wenn Sie sich mit IT-Sicherheit beschäftigen müssen, ist die Frage, warum IT-Sicherheit wichtigist, eigentlich subjektiv einfach zu beantworten: Sie ist für Sie wichtig, weil das Gebiet jemandanderem wichtig erscheint, beispielsweise den Professoren einer Hochschule, die es in einen Stu-diengang als Fach aufgenommen haben, oder vielleicht Ihrem Vorgesetzten. Doch ich kann Sieberuhigen: IT-Sicherheit ist eines der wichtigsten Felder der Informatik überhaupt, und sie be-trifft ausnahmslos alle Personen, die mit elektronischer Datenverarbeitung in Kontakt kommen.
In den letzten Jahrzehnten hat die Informationstechnologie (IT) nahezu alle gesellschaftlichenBereiche, vom privaten bis hin zu jedem denkbaren geschäftlichen, durchdrungen. Durch diebreitbandige Vernetzung von Rechnern sind Strukturen entstanden und Möglichkeiten erwach-sen, deren gesellschaftliche, politische und ökonomische Auswirkungen erst langsam deutlichwerden. Einige Experten erwarten durch die neuen Möglichkeiten und Anwendungsfelder derIT nachhaltige Veränderungen, die von ihrer Bedeutung einer zweiten industriellen Revolutiongleichkommen, an deren Ende die Transformation unserer derzeitigen Industriegesellschaft ineine Informationsgesellschaft steht.
Unabhängig davon, ob man diesen Überlegungen folgt oder ihnen eher skeptisch gegenüber-steht, ist Information unbestreitbar zu einem wichtigen, wenn nicht dem wichtigsten Wirtschafts-faktor geworden. Der Wert und die Konkurrenzfähigkeit eines Unternehmens ist heute zentralvon dessen Know-How, also Informationen über Geschäftsprozesse, Produktionsprozesse oderKundendaten abhängig. Konsequenterweise besitzen diese Informationen einen hohen Wert fürdas Unternehmen, und natürlich wären sie auch für einen Konkurrenten wertvoll.
Mehr und mehr (wenn nicht mittlerweile alle) der Informationen, die das Know-How einesUnternehmens ausmachen, liegen in elektronischer Form vor. Die Bedrohungen, denen elek-tronisch vorliegende Information und Informationssysteme ausgesetzt sind, lassen sich mit denklassischen Mitteln zum Schutz von Ressourcen wie etwa der Perimetersicherheit, also der Be-schränkung und Überwachung des physischen Zugangs, oder einer sorgfältigen Auswahl der Mit-arbeiter alleine nicht mehr gewährleisten. Elektronisch vorliegende Information ist neuen Bedro-hungen ausgesetzt. In kurzer Zeit können große Mengen von Informationen über Datennetzwerkeweltweit übertragen werden. Dies ermöglicht Unternehmen zum einen neue Möglichkeiten, birgtaber zum anderen auch neue Gefahren, insbesondere für die Sicherheit der Information.
Mit der zunehmenden Bedeutung der IT-Sicherheit ist auch das Bewusstsein hinsichtlich dermöglichen Risiken computergestützter Anwendungen in den Fokus des Interesses gerückt. Zuden notwendigen Maßnahmen zum Schutz der IT zählt der Schutz von Daten und Anwendungen,deren Kommunikation und des zum Datenaustausch verwendeten Netzwerks gegen unbeabsich-tigte oder unfallbedingte Löschung oder Unterbrechung und gegen unbefugte aktive oder passiveEingriffe durch Dritte.
Neben Unternehmen und anderen Institutionen nutzen auch Privatpersonen IT-Systeme. Dabeiwerden ebenfalls Daten eingegeben, gespeichert, verarbeitet und über Netzwerke transportiert,die für Dritte interessant sein können. Dies fängt bei für Werbezwecke relevanten Informatio-nen an (Einkommen, Vorlieben, Neigungen), und geht hin bis zu Bankinformationen, PINs undTANs, die es Kriminellen ermöglichen könnten, den Benutzer zu schädigen, indem sie etwa Geldvom Konto des Opfers stehlen.
Unter IT-Sicherheit verstehen wir den Schutz von Informationen und Informationssystemengegen unbefugte Zugriffe und Manipulationen sowie die Sicherstellung der Verfügbarkeit derdurch die Systeme bereitgestellten Dienste für legitime Benutzer, einschließlich aller Maßnah-men zur Verhinderung, Entdeckung oder Protokollierung von Bedrohungen. Der Schutz vor un-befugtem Zugriff muss ständig gewährleistet sein, insbesondere während der Speicherung, derVerarbeitung und der Übertragung.
1.2 Ziele von IT-Sicherheit
Gemäß der von einer Gruppe von Staaten, darunter Deutschland und die USA, entwickelten„Gemeinsamen Kriterien“ für die Evaluation von IT-Sicherheit (Common Criteria for Informati-on Technology Security Evaluation) [CC-1] geht es bei der IT-Sicherheit vor allem darum, Ver-traulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Es gibt verschiedeneMöglichkeiten, wie man diese Begriffe und auch den Begriff „IT-Sicherheit“ präzise fassen kann,ausführliche Erläuterungen finden sich in [RFC 4949] und [CNSS 4009] (siehe auch [BSI10]).
1. Vertraulichkeit: Schutz von Information gegenüber unbefugten Zugriffen Dritter.
2. Integrität: Schutz von Information gegenüber Veränderung durch Unbefugte.
3. Verfügbarkeit: Ressourcen und Dienste stehen legitimen Benutzern tatsächlich zur Verfü-gung.
Neben diesen Zielen gibt es noch eine ganze Reihe weiterer Ziele von IT-Sicherheit. Insbe-sondere drei weitere werden wir in diesem Buch detailliert betrachten:
4. Authentizität und Authentifikation (synonym: Authentifizierung): Eindeutige Identifikationdes Absenders von Information bei der Informationsübertragung. Eindeutige Identifikationeines Kommunikationspartners.
5. Verbindlichkeit (Nichtabstreitbarkeit): Möglichkeit, den Inhalt und den Absender von In-formation gegenüber einem an der Kommunikation nicht beteiligten Dritten zu beweisen.
1.2 Ziele von IT-Sicherheit 3
6. Autorisation: Beschränkung des Zugriffs auf eine Ressource auf bestimmte (authentifizier-te) Benutzer.
Intuitiv ist der Unterschied zwischen diesen Begriffen klar. Wenn man sich aber genauer da-mit befasst, so werden diese Grenzen unscharf und die Begriffe sind teilweise schwierig genauvoneinander abzugrenzen. Mit diesem Problem wollen wir uns aber hier nicht lange aufhalten.
Die Vertraulichkeit und Integrität von Information ist wie oben beschrieben ein sehr wichtigesThemenfeld. Dies gilt insbesondere, wenn die Information elektronisch übertragen oder gespei-chert werden. Wie wir noch sehen werden, ist es für Bits und Bytes, die durch ein Netzwerkübertragen oder auf einem Medium gespeichert werden, oft unmöglich, zu gewährleisten, dassDritte diese Information nicht lesen oder verändern können. Daher wird die Vertraulichkeit oftdurch kryptographische Verfahren sichergestellt, mittels derer die eigentliche zu übertragendeoder zu speichernde Information in Chiffretext umgewandelt wird, der dann durch das Netzwerkzum Empfänger übertragen oder auf dem Speichermedium abgelegt wird. Die Chiffrierung er-folgt so, dass ein legitimer Benutzer, wie etwa der vorgesehene Empfänger der Übertragung oderder Besitzer verschlüsselt abgespeicherter Daten, diesen Chiffretext wieder in die ursprünglicheInformation zurückverwandeln kann, während ein unbefugter Dritter keine Möglichkeit hat, ausdem Chiffretext die ursprüngliche Information zu extrahieren.
Auch die Integrität von Information lässt sich nur indirekt sicherstellen. Hierzu kommen eben-falls kryptographische Verfahren zum Einsatz. Diese Verfahren ermöglichen es zu überprüfen, obdie ursprünglichen Daten beispielsweise beim Transit durch ein Netzwerk oder nach dem Abspei-chern auf dem Medium manipuliert und verändert wurden oder nicht. Dies geschieht wiederumso, dass ein Dritter keine Möglichkeit hat, die Information unbemerkt zu verändern.
Man kann sich darüber streiten, ob Authentifikation, Authentizität und Verbindlichkeit Un-tereigenschaften von Integrität sind oder nicht. Jedenfalls sind sie allemal wichtig genug, um hierseparat angeführt zu werden. Wenn wir mittels eines kryptographischen Verfahrens sicherstellenkönnen, dass eine Nachricht, also durch ein Netzwerk übertragene Information, beim Transitdurch das Netzwerk nicht verändert wurde, dann ist dies in den allermeisten Fällen nur dannsinnvoll, wenn wir auch zweifelsfrei wissen, von wem die Nachricht tatsächlich stammt, wennwir also den Kommunikationspartner oder den Absender einer Nachricht eindeutig identifizierenkönnen. Kurz gesagt: Sie möchten wissen, dass Sie eine unveränderte Nachricht von Ihrer Bankerhalten haben. Die Information, dass Sie eine unveränderte Nachricht von jemand erhalten ha-ben, der vorgibt, Ihre Bank zu sein, hilft Ihnen nicht wirklich weiter. Auch zur Sicherstellung derAuthentizität können kryptographische Verfahren zum Einsatz kommen.
Verbindlichkeit beinhaltet Authentizität, umfasst aber noch ein weiteres, entscheidendes Kri-terium: Bei Verbindlichkeit muss auch gegenüber Dritten eindeutig nachweisbar sein, von wemeine Nachricht stammt. Dies ist bei Authentizität nicht unbedingt der Fall. Verbindlichkeit ist ins-besondere beim Abschluss von Verträgen wichtig. Wenn ein Kunde über das Internet bei seinerBank Aktien kauft, die sofort im Anschluss an die Transaktion stark im Wert fallen, so könnte derKunde hinterher behaupten, dass er diese Transaktion gar nicht getätigt hat. In diesem Fall ist esfür die Bank wichtig, dass sie gegenüber einem Gericht nachweisen kann, dass die Transaktiontatsächlich durch den betreffenden Kunden angeordnet wurde.
Die Verfügbarkeit von Informationen und Diensten ist ebenfalls ein wichtiges Ziel von IT-Sicherheit. Der Ausfall eines IT-Systems kann für Institutionen existenzbedrohend sein, bei-
4 1 Einführung
spielsweise, wenn die Server eines Online-Händlers über einen längeren Zeitraum nicht erreich-bar sind.
Betrachten wir nun zur Vertiefung ein Beispiel, an dem wir Vertraulichkeit, Integrität undVerfügbarkeit illustrieren können. Auf einem Rechner des Geschäftsführers eines kleinen Un-ternehmens liegt eine Datei mit einer Tabelle, in der das monatliche Gehalt jedes Mitarbeitersder Firma vermerkt ist. Aus naheliegenden Gründen (Neid, Missgunst, Mobbing, Intrigen) sol-len diese Daten ausschließlich dem Geschäftsführer selbst zugänglich sein. Die Vertraulichkeitder Daten ist gewahrt, wenn dies tatsächlich der Fall ist. Es gibt viele Möglichkeiten, wie dieVertraulichkeit der Daten gebrochen werden kann:
• Ein Hacker bricht über das Internet in den Rechner ein und gelangt so in den Besitz derDaten.
• Der Rechner wird durch einen Virus infiziert, der die Daten über das Netz an unbefugteweiterschickt.
• Der sehr neugierige Administrator der Firma hat Zugriff auf den Rechner und kopiert dieDaten auf eine Diskette.
• Der Geschäftsführer lässt die Datei geöffnet auf dem Bildschirm, während er in einer Be-sprechung ist, ein Mitarbeiter liest die Daten vom Bildschirm ab.
• Der Geschäftsführer kopiert die Daten auf einen Memory-Stick, den er dann verliert odergestohlen bekommt.
• Der ganze Rechner wird bei einem Einbruch gestohlen.
• Der Geschäftsführer ist unachtsam und schickt die Datei (gehalt.xls) versehentlich anstattder Wegbeschreibung für den anstehenden Betriebsausflug (gehoelz.doc) als Anhang einerEmail an alle Mitarbeiter.
Auch die Integrität der Datei mit den Gehaltsdaten kann auf verschiedenste Weise zerstörtwerden:
• Ein Hacker bricht über das Internet in den Rechner ein und verändert die Daten.
• Der Rechner wird durch einen Virus infiziert, der die Daten verändert.
• Der Administrator der Firma hat Zugriff auf den Rechner und verändert die Daten.
• Der Geschäftsführer lässt die Datei geöffnet auf dem Bildschirm, während er in einer Be-sprechung ist, ein Mitarbeiter liest und verändert die Daten auf dem Rechner.
Bleiben wir bei diesem Beispiel und betrachten die Verfügbarkeit. Die Verfügbarkeit der Da-tei kann durch absichtliches oder versehentliches Löschen gestört werden. Auch die Zerstörungdes Datenträgers, auf dem die Datei gespeichert ist, gefährdet die Verfügbarkeit. Brennen dieBürogebäude der Firma aus, ist auch die Datei verloren - was in diesem Fall vielleicht die kleins-te Sorge des Unternehmens wäre. Aber es gibt viele Fälle, in denen die Vorsorge gegen solche
1.3 Angriffe auf IT-Sicherheit 5
Katastrophen ein wesentlicher Bestandteil der Vorkehrungen für IT-Sicherheit sein sollte. Ei-ne Softwarefirma, die durch einen Brand den Quellcode ihrer Produkte verliert, hat sicherlichim Vorfeld große Fehler begangen. Ob eine Versicherung für solche Schäden aufkommen wür-de, ist höchst zweifelhaft, da das Fehlen von Sicherungskopien wichtiger elektronischer Daten(Backups) wohl zumindest als grob fahrlässig gelten kann.
Eines sollte Ihnen bereits jetzt klar geworden sein: IT-Sicherheit ist ein komplexes Feld. UmVertraulichkeit, Integrität und Verfügbarkeit gewährleisten zu können, ist nicht eine einzelneMaßnahme ausreichend, sondern es muss ein ganzer Katalog von Maßnahmen umgesetzt wer-den. Außerdem ist es unerläßlich, die IT-Sicherheit ständig zu überprüfen, auditieren und gege-benenfalls neuen Bedingungen und Bedrohungen anzupassen.
Der Versuch, IT-Sicherheitsmechanismen vorsätzlich auszuhebeln und so eines der Ziele derIT-Sicherheit zu kompromittieren, wird auch als Angriff bezeichnet. In diesem Buch beschäfti-gen wir uns in erster Linie mit Angriffen auf informationstechnischem Weg und mit IT-basiertenMaßnahmen, wie man sie verhindern oder zumindest entdecken kann. Im Fokus unserer Überle-gungen stehen also nicht die Fragen, wie man (etwa durch geeignetes Design von User-Interfacesoder geeignete Backup-Strategien) das versehentliche Löschen von Informationen verhindernkann oder wie man den Diebstahl von Datenträgern oder ganzen Rechnern mit vertraulichen In-formationen durch geeignete Maßnahmen in der Gebäudesicherheit verhindert (manchmal hilftsogar schon eine abschließbare Tür – jedenfalls, wenn sie abgeschlossen wird). Um keine Miss-verständnisse aufkommen zu lassen: Solche Maßnahmen sind in den meisten Fällen absolut un-verzichtbar, um die IT-Sicherheit tatsächlich gewährleisten zu können. Wenn man von der Straßeaus direkt in das Rechenzentrum eines Unternehmens marschieren kann, dann hat das Unterneh-men ein gravierendes Sicherheitsproblem, das unmittelbar zu einem IT-Sicherheitsrisiko führt.
Ein weiterer wichtiger Punkt, auf den wir nur am Rande eingehen werden, ist Social Enginee-ring. Hierunter versteht man das gezielte Ausnutzen und Provozieren von Benutzerfehlern. Dabeiwird das Sicherheitssystem durch menschliches Versagen ausgehebelt, beispielsweise indem einlegitimer Benutzer einem unbefugten Dritten ein Passwort verrät.
1.3 Angriffe auf IT-Sicherheit
1.3.1 Angriffsarten
Man unterscheidet zwischen zwei grundlegend unterschiedlichen Typen von Angriffen, nämlichaktiven und passiven Angriffen.
• Passive Angriffe: Bei passiven Angriffen gelangt der Angreifer in den Besitz von Infor-mationen, ohne selbst in das Geschehen einzugreifen. Ein typisches Beispiel hierfür istdas Mithören und Mitschneiden von elektronisch übertragenen Informationen in einemComputernetzwerk, etwa in einem Local Area Network (LAN). Da der Angreifer selbstnicht aktiv wird, sind solche Angriffe nur sehr schwierig (wenn überhaupt) zu bemerken.Daher steht bei der Abwehr passiver Angriffe die Prävention im Vordergrund, etwa durchtechnische Maßnahmen zur Verhinderung des Mithörens oder die Chiffrierung der zu über-tragenden Daten.
6 1 Einführung
• Aktive Angriffe: Bei aktiven Angriffen tritt der Angreifer selbst in Erscheinung, indem erbeispielsweise Daten, Informationen oder Dienste fälscht, modifiziert oder löscht bzw. de-ren Verfügbarkeit sabotiert. Da der Angreifer selbst aktiv wird, kann er dabei auffallen oderSpuren hinterlassen, die eine Erkennung des Angriffs und vielleicht sogar des Angreifersermöglichen können. Gegen aktive Angriffe sind sowohl präventive als auch detektorischeMaßnahmen möglich. Aktive Angriffe können auch als Vorbereitung für einen passivenAngriff dienen, etwa indem ein Datenstrom durch einen aktiven Angriff so umgelenktwird, dass der Angreifer dann passiv mithören kann.
1.3.2 Schwachstellen
Ein erfolgreicher Angriff auf die IT-Sicherheit setzt eine Schwachstelle (wir verwenden in die-sem Buch synonym auch den Begriff Sicherheitslücke) voraus, die der Angreifer ausnutzenkann. Schwachstellen können in jeder Phase des Entwicklungsprozesses eines Systems aus Hard-und/oder Softwarekomponenten entstehen. Konsequenterweise fallen die Schwachstellen in eineder folgenden Kategorien:
• Anforderungsfehler: Die Anforderungen sind in Bezug auf die Sicherheit fehlerhaft oderunzureichend.
• Designfehler: Die Spezifikation einer Hard- oder Softwarekomponente genügt nicht denAnforderungen und enthält eine Schwachstelle, die ein Angreifer ausnutzen kann.
• Implementierungsfehler: Die Implementierung einer Spezifikation weicht von der Spezifi-kation ab. Diese Abweichung kann von einem Angreifer ausgenutzt werden.
• Installations- und Administrationsfehler: Bei der Installation oder Administration einerKomponente wurde eine Schwachstelle geschaffen, beispielsweise eine Sicherheitsfunkti-on ausgeschaltet.
Betrachten wir dazu einige kurze Beispiele. Anforderungsfehler sind einfach zu illustrieren.Es war noch vor wenigen Jahren in vielen Bereichen nicht üblich, Sicherheitsanforderungen beider Entwicklung überhaupt zu berücksichtigen. Somit gab es auch keine Mechanismen, die einAngreifer überhaupt hätte aushebeln müssen.
In älteren Unix-artigen Systemen war es einem Angreifer, der bereits Zugriff auf das Systemhatte, aufgrund des Designs möglich, in den Besitz einer Datei zu gelangen, aus der sich durchgeschicktes Raten relativ einfach die Passwörter von anderen Benutzern des Systems ermittelnließen. Diese Schwachstelle ist ein Designfehler, der mittlerweile behoben wurde. Es gibt auchFälle, in denen im Design und in der Architektur Schwachstellen bekannt sind, die sich abernicht oder nur sehr schwer eliminieren lassen. Solche intrinsischen Schwachstellen müssen inmanchen Fällen in Kauf genommen werden.
Implementierungsfehler basieren auf der fehlerhaften Umsetzung eines Designs. Eine Login-Prozedur, die zwar Username und Passwort abfragt, dann aber (entgegen der Spezifikation) demBenutzer unabhängig von den eingegebenen Werten Zugriff auf das System gewährt, ist ein (dras-tisches) Beispiel hierfür.
1.4 Risiken und Unsicherheit 7
Der Administrator kann durch Fehler bei Installation oder Administration ebenfalls Schwach-stellen schaffen. Legt er beispielsweise zu Testzwecken einen Benutzer „Test“ mit Passwort„Test“ an und vergisst anschließend, diesen Zugang zu löschen, so handelt es sich um einenklaren Administrationsfehler.
Natürlich kann man diese Klassifizierung auch als Grundlage für einen akademischen Diskursnehmen und sich trefflich darüber streiten, ob Administrationsfehler nicht immer auf vorange-gangene Designfehler zurückzuführen sind. Schließlich könnte man schwache Passwörter undTestzugänge ja bereits durch ein geeignetes Design ausschließen. Wir wollen hier auf solcheeher theoretischen Diskussionen nicht weiter eingehen. Fehler werden leider gemacht und sieermöglichen es Angreifern, erfolgreiche Angriffe auf die IT-Sicherheit durchzuführen.
1.3.3 Ziele eines Angriffs
Die Ziele eines Angriffs auf die IT-Sicherheit können sehr vielfältig sein und hängen letztlichvon den Motiven des Angreifers (oder seines Auftraggebers) ab.
Während anfangs Schabernack treibende Studierende, Nerds und Geeks für Angriffe verant-wortlich waren, die häufig zwar unangenehm, aber nicht unbedingt mit schwerwiegenden Fol-geschäden behaftet waren, zeichnet sich in den letzten Jahren eine deutliche Verschiebung hinzu kriminellen Motiven, einhergehend mit einer Professionalisierung der Täter, ab. Mittlerweilesind regelrechte Toolkits erhältlich, die es auch technisch wenig versierten Tätern ermöglichen,Angriffe durchzuführen. Das Spektrum reicht dabei vom Ausspionieren von Kontendaten beimOnline-Banking, um Geld vom Konto des Opfers zu stehlen, bis hin zur automatisierten Indus-triespionage.
Innentäter, also Angreifer, die legitimen Zugang zu einem System besitzen und dieses füreinen Angriff ausnutzen, finden sich im Täterkreis genauso wie auch Außentäter, die keinenlegitimen Zugriff auf das System haben und beispielsweise über ein öffentliches Netz einbrechen.
In der Regel sind Rechnernetze und die IT-Infrastruktur von Institutionen gegen Angriffe vonaußen wesentlich besser geschützt als gegen Attacken von innen. Ein Innentäter muss auch nichtunbedingt einen Angriff auf die IT-Sicherheit durchführen, um der Institution zu schaden. Esreicht, wenn ein Spion das weitergibt, worauf er autorisierten Zugriff hat. Zum Schutz vor sol-chen Vorgängen können automatisierte Verfahren eingesetzt werden, die eventuell erste Anhalts-punkte auf verdächtige Aktionen liefern. Um das Problem der Innentäter wirksam einzudämmen,hilft aber letztlich wohl nur eine Kombination aus IT-Sicherheitsmaßnahmen und anderen, nichtIT-basierten Maßnahmen wie eine sorgfältige Auswahl der Mitarbeiter. Schlampige IT-Sicherheitin einer Institution kann es möglichen Tätern aber sehr viel leichter machen, und zwar sowohlvon innen als auch von außen.
1.4 Risiken und Unsicherheit
Wenn ein IT-System eine Schwachstelle aufweist, muss dies nicht unbedingt für einen Angriffausgenutzt werden. Eine Schwachstelle kann unentdeckt bleiben oder auch einfach nicht miss-braucht werden. Es besteht aber ein Risiko, dass eine Schwachstelle tatsächlich für einen Angriff
8 1 Einführung
ausgenutzt wird. Je nach Art und Umfang der Schwachstelle werden die Folgen eines Angriffsunterschiedlich schwerwiegende Konsequenzen haben.
Ist eine Möglichkeit bekannt, wie die Schwachstelle beseitigt werden kann, so bestehen ver-schiedene Handlungsalternativen: Zum einen könnte das Risiko eliminiert werden, indem dieSicherheitslücke geschlossen wird, zum anderen kann das Risiko weiter in Kauf genommen wer-den. In der Betriebswirschaftslehre ist dieses Problem als Entscheidung bei Risiko oder Unsi-cherheit bekannt (siehe [Wö10]).
Sind für ein Risiko die Eintrittswahrscheinlichkeit und die jeweils entstehenden Eintrittsfol-gen im Voraus bestimmbar, so kann für jede mögliche Handlungsalternative der Erwartungswerthinsichtlich der Eintrittsfolgen bestimmt werden. Der Erwartungswert einer Handlungsalterna-tive ist die Summe über die mit den Eintrittswahrscheinlichkeiten gewichteten Eintrittsfolgen.Ein rationaler Entscheider wird dann diejenige Alternative mit dem optimalen Erwartungswerthinsichtlich der Eintrittsfolgen wählen.
Die Frage, welche Möglichkeit gewählt werden sollte, hängt immer vom Zielsystem des Ent-scheiders ab (siehe [Wö10]), das bestimmt, wie und mit welchem Maß die Eintrittsfolgen quan-tifiziert werden. In der Regel interessieren sich Unternehmen hauptsächlich für die finanziellenAuswirkungen der Eintrittsfolgen. Dies muss jedoch nicht notwendigerweise immer so sein.
Betrachten wir ein Beispiel hierzu. Ein Unternehmen nutzt zur Aufnahme von Bestellungenseiner Kunden einen Webserver. Gerade wurde eine Sicherheitslücke in der auf dem Server ver-wendeten Software bekannt. Eine sofortige Behebung der Schwachstelle würde 10.000 Euro kos-ten. Die Herstellerfirma der Software wird in ca. 14 Tagen ein kostenloses Patch für die Softwarebereitstellen, durch das die Schwachstelle geschlossen wird. Falls die Sicherheitslücke ausge-nutzt wird, ist mit einem Schaden in Höhe von 60.000 Euro zu rechnen. Die IT-Abteilung schätztdie Wahrscheinlichkeit, dass die Sicherheitslücke tatsächlich in den nächsten 14 Tagen ausge-nutzt wird, auf 0,2 (also 20%). Alternativ bestünde auch die Möglichkeit, den Server temporärabzuschalten und die Bestellungen solange telefonisch entgegenzunehmen. Das Unternehmenrechnet dabei mit Kosten von 14.000 Euro.
Das Unternehmen verfügt also über die folgenden drei Handlungsalternativen:
1. Die erste Möglichkeit ist die sofortige Behebung der Schwachstelle. In diesem Fall entste-hen Kosten in Höhe von 10.000 Euro.
2. Die zweite Handlungsalternative ist der Weiterbetrieb des Servers ohne Eliminierung derSchwachstelle für 14 Tage und das Verwenden des kostenlosen Patches. Mit einer Wahr-scheinlichkeit von 0,2 wird ein Angreifer die Lücke innerhalb der 14 Tage ausnutzen. Indiesem Fall entsteht ein Schaden von 60.000 Euro. Dies bedeutet, dass mit einer Wahr-scheinlichkeit von 0,8 nichts passieren wird und auch keine Kosten entstehen. Der Erwar-tungswert der Kosten dieser Möglichkeit entspricht der Summe der über die Eintrittswahr-scheinlichkeit gewichteten Kosten, also 0,2 ·60.000 Euro +0,8 ·0 Euro = 12.000 Euro.
3. Die dritte Alternative wäre das Abschalten des Servers und die telefonische Entgegennah-me von Bestellungen, bis die Lücke geschlossen werden kann, wobei Kosten von 14.000Euro entstehen.
In diesem Fall ist die erste Alternative mit den geringsten erwarteten Kosten verbunden, näm-lich 10.000 Euro, während die anderen Alternativen das Unternehmen mit Kosten in Höhe von
1.5 IT-Sicherheit in der Praxis 9
12.000 bzw. 14.000 Euro belasten würden. Somit ist die sofortige Behebung der Schwachstelledie beste der drei Möglichkeiten. Daher sollte das Unternehmen die Schwachstelle sofort behe-ben lassen.
In der Praxis ist es in den meisten Fällen unmöglich, die Eintrittswahrscheinlichkeiten zubestimmen. Selbst die Eintrittsfolgen eines Risikos dürften kaum eindeutig zu quantifizierensein. Mit welchem Geldbetrag ist der Imageschaden einer Bank anzusetzen, wenn das Online-Bankingsystem eine Schwachstelle hat, die Angreifer ausnutzen? In vielen Fällen wird daher oftdas Bauchgefühl von Experten für die Entscheidung herangezogen werden müssen.
Trotzdem lassen sich aus diesen eher betriebswirtschaftlichen Betrachtungen einige inter-essante Schlussfolgerungen ziehen, die für IT-Verantwortliche in Institutionen wichtig sind.
Als Erstes bleibt festzuhalten, dass es letztlich aus Sicht einer Institution nicht um eine Elimi-nierung möglichst aller Schwachstellen in IT-Systemen geht, sondern um die Minimierung desRisikos hinsichtlich des Zielsystems, also um die Wahl der (wirtschaftlich) vernünftigsten, opti-malen Handlungsalternative. Wie in vielen anderen Bereichen auch, können nicht alle Risiken imBereich der IT-Sicherheit vollständig ausgeschlossen werden. Ein bestimmtes Restrisiko bleibtbei Verwendung eines IT-Systems immer bestehen.
Letztlich stellt sich auch die Frage, ob der Nutzen des Einsatzes eines IT-Systems die da-mit verbundenen Risiken überhaupt rechtfertigt. Das Abschalten des Systems ist eben auch eineHandlungsalternative. Glücklicherweise für alle in der IT-Branche tätigen Personen überwiegtder (wirtschaftliche) Nutzen der Systeme die (wirtschaftlichen) Risiken aber bei weitem.
1.5 IT-Sicherheit in der Praxis
Verlassen wir wieder die betriebswirtschaftliche Ecke und wenden uns dem Alltag eines IT-Systemverantwortlichen zu. Eine unbestreitbare Tatsache ist, dass Maßnahmen zur Verbesserungder Sicherheit eines IT-Systems häufig mit einer Verschlechterung der Verwendbarkeit des Sys-tems aus Benutzersicht einhergehen. Betrachten wir einige Beispiele.
Nicht nur aus Sicherheitsgründen ist es für Institutionen auf jeden Fall ratsam, alle PC-Systememit ähnlichen Funktionen zu standardisieren und eine einheitliche Systemkonfiguration zu ver-wenden, die durch die Benutzer nicht eigenständig verändert werden kann. Das hat zur Folge,dass vielleicht die eine oder andere Softwarekomponente, wie ein bestimmtes Email-Programmoder ein spezieller Webbrowser, nicht zur Verfügung steht, die der Benutzer (vielleicht aus einerfrüheren Tätigkeit, dem Studium oder von zu Hause) gewohnt ist.
In Institutionsnetzwerken können verschiedene Dienste eingeschränkt oder abgeschaltet wer-den, beispielsweise die Nutzung des World Wide Web. Dies hat nicht nur, aber auch mit Sicher-heitsfragen zu tun. Wenn ein Benutzer es gewohnt war, täglich von einer bestimmten Seite Infor-mationen abzurufen und dies plötzlich nicht mehr möglich ist, empfindet der Benutzer dies alsZumutung. Einige werden vielleicht der Versuchung nicht widerstehen können, diese Maßnah-men (wie auch immer) zu umgehen, was für die Sicherheit des Netzes mit sehr schwerwiegendenFolgen verbunden sein kann. Insofern ist die Benutzerakzeptanz der Sicherheitsmaßnahmen fürderen Erfolg sehr wichtig. Die Stärkung des Bewusstseins für IT-Sicherheit bei den Benutzernund deren Sensibilisierung hinsichtlich möglicher Risiken durch fahrlässiges Verhalten, etwa
10 1 Einführung
durch Schulungen und Ähnliches, ist daher ein zentraler Punkt. Trotzdem sind viele Sicherheits-maßnahmen mit einer unmittelbaren Einschränkung der Benutzbarkeit des Systems verbunden.
1.6 Organisatorische Grundlagen der IT-Sicherheit
1.6.1 Rahmenbedingungen
Der Schwerpunkt dieses Buchs liegt auf technischen Aspekten von IT-Sicherheit. Im Folgendenwollen wir in aller Kürze auf die notwendigen organisatorischen und rechtlichen Rahmenbedin-gungen eingehen.
Die Gewährleistung und Aufrechterhaltung der IT-Sicherheit in einer Institution ist eine Auf-gabe, die nicht alleine durch Systemadministratoren und technisch Verantwortliche gemeistertwerden kann. IT-Sicherheit muss organisatorisch in der Institution verankert sein. TechnischeMaßnahmen alleine reichen nicht aus. Sämtliche Prozesse und Arbeitsabläufe müssen auf mög-liche IT-Sicherheitsrisiken hin durchleuchtet und gegebenenfalls geändert werden. Dazu flankie-rend müssen die Mitarbeiter der Institution über die möglichen Konsequenzen bei vorsätzlichenoder fahrlässigen Gefährdungen der IT-Sicherheit, etwa durch unachtsamen Umgang mit Pass-wörtern, aufgeklärt werden. Darüber hinaus sind institutionsweit einheitliche Standards erforder-lich, denn einem Angreifer genügt manchmal eine einzige Schwachstelle für einen erfolgreichenAngriff. Um dies alles konzertiert erreichen zu können, ist die Verankerung des Themas IT-Sicherheit in der Führung einer Institution notwendig. Wir werden am Ende des Buchs bei derBetrachtung von Richtlinien für die Praxis in Kapitel 16 auf dieses Thema zurückkommen.
1.6.2 IT-Sicherheit als Prozess
Die Schaffung einer sicheren IT-Infrastruktur ist kein singuläres, einmaliges Ereignis. Ein Rech-ner, der gestern noch als sicher galt, kann heute bereits ein Risiko darstellen, beispielsweise daeine neue Schwachstelle auf einer auf dem System installierten Softwarekomponente bekanntwurde. Die Geschäftsabläufe einer Institution unterliegen einem ständigen Wandel, der eben-falls Änderungen der notwendigen Sicherheitsmaßnahmen implizieren kann. Das Gleiche gilt fürdie Installation neuer oder das Update oder die Änderung bestehender Systeme. Daher ist einekontinuierliche Überwachung und Weiterentwicklung der gesamten IT-Sicherheitsmaßnahmenin einer Institution notwendig. Mit anderen Worten: IT-Sicherheit ist ein Prozess.
Ein weit verbreitetes und auch in der IT-Sicherheit häufig verwendetes Schema des Prozessab-laufs ist der sogenannte PDCA-Zyklus (Plan, Do, Check, Act), der in Abbildung 1.1 dargestelltist. Er besteht aus vier Schritten:
• Plan: Die Anforderungen an IT-Sicherheit werden analysiert und die strategischen Zielefestgelegt. Zur Umsetzung der Ziele wird ein Konzept entwickelt.
• Do: Das in der vorangegangenen Phase entwickelte Konzept wird durch technische und/oderbegleitende organisatorische Maßnahmen umgesetzt.
1.7 Rechtliche Grundlagen und Rahmenbedingungen in Deutschland 11
Abbildung 1.1: IT-Sicherheit als Prozess.
• Check: Die Wirksamkeit der Maßnahmen wird sowohl technisch als auch organisatorischüberwacht. Hierzu werden Daten über den laufenden Betrieb der Systeme gesammelt, aus-gewertet und mit den erwarteten Ergebnissen verglichen.
• Act: Eventuelle Differenzen zwischen erwarteten und erreichten Ergebnissen werden ana-lysiert. Auf Basis der Analyse können Änderungen im Konzept bzw. ein neues Konzepterforderlich werden, wenn die zu erreichenden Ziele durch das gegenwärtige Konzept ver-fehlt wurden oder wenn sich die Sicherheitsanforderungen geändert haben.
Es gibt viele andere Möglichkeiten, wie man den IT-Sicherheitsprozess strukturieren kann. Sokönnten wir beispielsweise die hier vorgestellten vier Phasen auch noch weiter verfeinern undaufgliedern. Je nach Vorgehensweise kann dies sinnvoll oder sogar notwendig sein. Wir wollenuns hier bewusst auf dieses sehr einfach gehaltene und weit verbreitete Modell beschränken,da unser Hauptaugenmerk nicht so sehr auf den konkreten IT-Sicherheitsprozess gerichtet ist,sondern darauf abzielt, das Prinzip anhand dieser einfachen Struktur zu veranschaulichen.
1.7 Rechtliche Grundlagen und Rahmenbedingungen in
Deutschland
Im Folgenden sollen kurz die wichtigsten rechtlichen Grundlagen für IT-Sicherheit vorgestelltwerden. Wir präsentieren diese Rechtsgrundlagen nicht aus juristischer Sicht, sondern vor allenDingen, um zu unterstreichen, dass die Gewährleistung und Sicherstellung der IT-Sicherheit ineiner Institution nicht nur aus den vorhin bereits betrachteten wirtschaftlichen Überlegungennotwendig, sondern auch rechtlich geboten und gefordert ist.
12 1 Einführung
1.7.1 Bundesdatenschutzgesetz
Nach §1 regelt das Bundesdatenschutzgesetz [BDSG] die Erhebung, Verarbeitung und Nutzungpersonenbezogener Daten durch öffentliche und nicht-öffentliche Institutionen. Zweck des Ge-setzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbe-zogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Personenbezogene Daten sindlaut §3 Abs. 1 „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmbarennatürlichen Person.“ Das Bundesdatenschutzgesetz zieht der Erhebung, Verarbeitung, Nutzungund Weitergabe personenbezogener Daten enge Grenzen und legt fest, welche Rechte die Per-sonen haben, um deren Daten es sich handelt. Aus unserem Kontext heraus ist §9 besonderswichtig. Dort heißt es: „Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag per-sonenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisato-rischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften diesesGesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen zu ge-währleisten.“ In der in Satz 1 zu §9 genannten Anlage wird unter anderem die Verhinderung derNutzung der Datenverarbeitungssysteme durch Unbefugte gefordert. Wörtlich heißt es: „Werdenpersonenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder in-nerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Daten-schutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zuschützenden personenbezogenen Daten oder Datenkategorieren geeignet sind (...) zu verhindern,dass Datenverarbeitungssysteme von Unbefugten genutzt werden können, (...) zu gewährleisten,dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ih-rer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogeneDaten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert,verändert oder entfernt werden können, (...) zu gewährleisten, dass personenbezogene Daten beider elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Da-tenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (...).“
Da mehr oder weniger jede Institution personenbezogene Daten verarbeitet, angefangen vonden Personaldaten der Mitarbeiter bis hin zu Kundendaten, ergibt sich aus diesem Gesetz einewichtige Verpflichtung, die IT-Infrastruktur so zu gestalten, dass die Sicherheit der Daten ge-währleistet ist.
1.7.2 Telekommunikationsgesetz
Neben dem Bundesdatenschutzgesetz gibt es besondere Vorschriften für Telekommunikations-anbieter, die im Telekommunikationsgesetz [TKG] festgehalten sind. Telekommunikationsdienstewie Telefonie werden in zunehmendem Maß nicht mehr über separate Netzwerke angeboten,sondern gemeinsam mit Datendiensten über ein Netzwerk abgewickelt. Dabei hat sich als Tech-nologieplattform die aus den Datendiensten kommende Netzwerkinfrastruktur auf Basis des IP-Protokolls durchgesetzt, bekannt unter dem Stichwort Voice over IP (VoIP) (siehe Kapitel 14).Für solche Dienste gilt das Telekommunikationsgesetz genauso wie für klassische Netzwerk-strukturen.
Der Gesetzgeber weist Telekommunikationsdiensten einen besonderen Status zu. §88 des Te-lekommunikationsgesetzes beinhaltet das Fernmeldegeheimnis. Nach §88 Abs. 1 des Gesetzes
1.7 Rechtliche Grundlagen und Rahmenbedingungen in Deutschland 13
unterliegen dem Fernmeldegeheimnis „der Inhalt der Telekommunikation und ihre näheren Um-stände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligtist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloserVerbindungsversuche.“ §88 Abs. 2 verpflichtet die Diensteanbieter zur Wahrung des Fernmel-degeheimnisses. Es ist den Anbietern nach Abs. 3 insbesondere untersagt, „sich oder anderenüber das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich desSchutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder dennäheren Umständen der Telekommunikation zu verschaffen.“ Im Gesetz finden sich darüber hin-aus noch weitere Vorschriften bezüglich Datenschutz und vor allem auch der Speicherung vonVerkehrsdaten (§96). Dort ist festgelegt, dass der Diensteanbieter die Verkehrsdaten nach Been-digung der Verbindung unverzüglich löschen muss, sofern sie nicht zur Entgeltermittlung (§97),der Erstellung eines Einzelverbindungsnachweises (§99), der Ermittlung von Störungen oderMissbrauch (§100, §101) oder anderen gesetzlichen Vorschriften notwendig sind.
1.7.3 Telemediengesetz
Die meisten nicht durch das Telekommunikationsgesetz erfassten elektronischen Informations-und Kommunikationsdienste fallen in den Geltungsbereich des Telemediengesetzes [TMG]. Diedortigen Regelungen in §13 Abs. 4 verpflichten den Diensteanbieter unter anderem dazu, durchtechnische und organisatorische Vorkehrungen sicherzustellen, dass „der Nutzer Telemedien ge-gen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann“.
Das Telemediengesetz beinhaltet in §14 Abs. 2 ein kontrovers diskutiertes Auskunftsrecht,„soweit dies für Zwecke der Strafverfolgung, zur Erfüllung der gesetzlichen Aufgaben der Ver-fassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder desMilitärischen Abschirmdienstes oder zur Durchsetzung der Rechte am geistigen Eigentum er-forderlich ist.“ Kontrovers hierbei ist der Auskunftsanspruch von nicht staatlichen Stellen imFall von Urheberrechtsverletzungen, die hinsichtlich des Auskunftsanspruchs auf eine Stufe mitStrafverfolgungsbehörden und Nachrichtendiensten gesetzt wurden.
1.7.4 Handelsgesetzbuch
Das Handelsgesetzbuch [HGB] verpflichtet Unternehmen zur Führung von Handelsbüchern underlaubt dabei ausdrücklich das Führen von Handelsbüchern auf Datenträgern. Nach §239 Abs.4 des HGB ist explizit gefordert, dass die Verfügbarkeit dieser Informationen sichergestellt wer-den muss: „Bei der Führung der Handelsbücher und der sonst erforderlichen Aufzeichnungenauf Datenträgern muss insbesondere sichergestellt sein, dass die Daten während der Dauer derAufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemachtwerden können.“
1.7.5 Bundesamt für Sicherheit in der Informationstechnik
Die Folgen mangelhafter IT-Sicherheit können unangenehm bis katastrophal sein und umfassen-de persönliche, wirtschaftliche oder rechtlich relevante Konsequenzen haben. Daher haben sichauch die Regierungen und Gesetzgeber verschiedener Staaten dieser Fragen angenommen. In
14 1 Einführung
Deutschland wurde 1990 eine spezielle Bundesbehörde, das Bundesamt für Sicherheit in der In-formationstechnik (BSI) geschaffen. Das ürsprüngliche BSI-Errichtungsgesetz [BSIG-alt] wur-de 2009 durch das Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes[BSIG-neu] abgelöst. Darin wurden die Aufgaben des BSI neu gefasst und deutlich erweitert.Das Bundesamt verfolgt nach §3 Abs. 1 das Ziel, die Sicherheit in der Informationstechnik zufördern und nimmt hierzu unter anderem folgende Aufgaben wahr:
„1. Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes;
2. Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheits-vorkehrungen und Zurverfügungstellung der gewonnenen Erkenntnisse für andere Stellen,soweit dies zur Erfüllung ihrer Aufgaben oder zur Wahrung ihrer Sicherheitsinteressenerforderlich ist;
3. Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Ent-wicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen Ver-fahren und Geräten für die Sicherheit in der Informationstechnik (IT-Sicherheitsprodukte),soweit dies zur Erfüllung von Aufgaben des Bundes erforderlich ist, einschließlich derForschung im Rahmen seiner gesetzlichen Aufgaben;
4. Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung derSicherheit von informationstechnischen Systemen oder Komponenten und für die Prüfungund Bewertung der Konformität im Bereich der IT-Sicherheit;
5. Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Kom-ponenten und Erteilung von Sicherheitszertifikaten; (...)
13. Unterstützung
a) der Polizeien und Strafverfolgungsbehörden bei der Wahrnehmung ihrer gesetzlichenAufgaben,
b) der Verfassungsschutzbehörden bei der Auswertung und Bewertung von Informationen,die bei der Beobachtung terroristischer Bestrebungen oder nachrichtendienstlicher Tätig-keiten im Rahmen der gesetzlichen Befugnisse nach den Verfassungsschutzgesetzen desBundes und der Länder anfallen,
c) des Bundesnachrichtendienstes bei der Wahrnehmung seiner gesetzlichen Aufgaben.(...)
14. Beratung und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiberund Anwender in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigungder möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;
15. Aufbau geeigneter Kommunikationsstrukturen zur Krisenfrüherkennung, Krisenreaktionund Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der kriti-schen Informationsinfrastrukturen im Verbund mit der Privatwirtschaft.“
1.7 Rechtliche Grundlagen und Rahmenbedingungen in Deutschland 15
Das BSI fungiert nun auch als zentrale Meldestelle für die Sicherheit der Informationstechnikder Bundesbehörden (§4). Die Novellierung der gesetzlichen Grundlage des BSI ist kontroversdiskutiert worden und auf massive Kritik gestoßen. So darf nach §5 Abs. 1 das BSI nämlich„zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes“ jegliche Kommunika-tion von Bundesbehörden abhören und auswerten, „soweit dies zum Erkennen, Eingrenzen oderBeseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder vonAngriffen auf die Informationstechnik des Bundes erforderlich ist“ und „die an den Schnittstel-len der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweitdies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist“. Letztlich darf somitdas BSI jegliche Kommunikation aller Bürger, Unternehmen und Institutionen mit dem Bund ab-hören. Dies stellt eine Einschränkung des grundgesetzlich garantierten Fernmeldegeheimnis darund wurde von vielen Kritikern als Einstieg in den Überwachungsstaat gebrandmarkt. Pikanter-weise hat sich der Bundestag, der das Gesetz verabschiedet hat, selbst von der Überwachungausgenommen – nach §2 Abs. 3 zählt nämlich die Kommunikationstechnik des Bundestages, desBundesrates, des Bundespräsidenten und des Bundesrechnungshofs nicht zur Kommunikations-technik des Bundes im Sinne dieses Gesetzes.
Das BSI hat eine ganze Reihe von Publikationen im Sicherheitsbereich herausgegeben. Beson-ders erwähnenswert hierbei sind die Aktivitäten im Bereich des IT-Grundschutzes, auf den wir inAbschnitt 16.2 genauer eingehen werden. Durch die Gesetzesnovellierung darf das BSI zudemnach §7 Abs. 1 „Warnungen vor Sicherheitslücken in informationstechnischen Produkten undDiensten und vor Schadprogrammen an die betroffenen Kreise oder die Öffentlichkeit weiterge-ben oder Sicherheitsmaßnahmen sowie den Einsatz bestimmter Sicherheitsprodukte empfehlen.Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung von diese Produkte be-treffenden Warnungen zu informieren, sofern hierdurch die Erreichung des mit der Maßnahmeverfolgten Zwecks nicht gefährdet wird.“
Durch seinen Status als Bundesbehörde und den oben wiedergegebenen Auftrag, bestimmtestaatliche Stellen wie Polizeien und Verfassungsschutzbehörden bei ihren gesetzlichen Aufgabenzu unterstützen, kann das BSI zumindest formal nicht als unabhängige Beratungsinstanz ange-sehen werden. Der oben erwähnte §7 Abs 1., nach welchem das BSI Warnmeldungen veröffent-lichen kann, enthält ebenfalls einen Passus, der es dem BSI explizit erlaubt, auf Warnungen zuverzichten: „Soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekanntwerden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oderweil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist, kann es den Kreis derzu warnenden Personen anhand sachlicher Kriterien einschränken; sachliche Kriterien könneninsbesondere die besondere Gefährdung bestimmter Einrichtungen oder die besondere Zuverläs-sigkeit des Empfängers sein.“ Daher bleibt auch nach der gesetzlichen Neuregelung abzuwarten,inwieweit das BSI von Herstellern, Vertreibern und Anwendern als uneingeschränkt vertrauens-würdiges Kompetenzzentrum angesehen und akzeptiert wird.
Besonders deutlich wird dies bei Themen wie der kontrovers diskutierten Online-Durchsuch-ung von Rechnern durch staatliche Stellen. Letztlich handelt es sich dabei um das vorsätzlicheSchaffen von Sicherheitslücken auf einem System, die dann bei einer Online-Durchsuchung aus-genutzt werden. Im Gegensatz zu einer richtigen Durchsuchung findet die Online-Durchsuchungheimlich ohne Wissen der Betroffenen statt und ähnelt eigentlich eher einem staatlich legalisier-ten Hackerangriff. Für die in den Systemen geschaffenen Hintertüren dürften sich früher oder
16 1 Einführung
später auch die Geheimdienste anderer Länder und Kriminelle interessieren. Vom BSI als Bun-desbehörde wird man kaum erwarten dürfen, dass es Benutzern Hinweise darauf geben wird, wieman solche Schwachstellen schließen kann.
Ähnlich kritische Fragen stellen sich auch in anderen Bereichen, beispielsweise bei anonymi-siertem Zugriff auf Netzwerke.
1.7.6 Das leidige Thema Vorratsdatenspeicherung
Der Deutsche Bundestag hatte am 9. November 2007 dem „Entwurf eines Gesetzes zur Neu-regelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmensowie zur Umsetzung der Richtlinie 2006/24/EG“ [NeuTK] zugestimmt. Er beinhaltete weitrei-chende Änderungen des Telekommunikationsgesetzes. Unter anderem sollten die Anbieter vonöffentlich zugänglichen Telekommunikationsdiensten zur Speicherung bestimmter Verkehrsda-ten für die Dauer von sechs Monaten verpflichtet werden. Die Daten sollten verdachtsunabhängigund ohne jeden Anhaltspunkt auf mögliche kriminelle Aktivitäten bei ausnahmslos allen Teilneh-mern an den Diensten protokolliert werden. Das erklärt den Namen Vorratsdatenspeicherung, dazunächst jede Aktivität als möglicherweise kriminell und verdächtig eingestuft und quasi „aufVorrat“ gespeichert wird. So kann man, sollten später tatsächlich Ermittlungen aufgenommenwerden, rückwirkend für sechs Monate auf die gesammelten Daten zugreifen.
Das Gesetz beinhaltete nicht nur die häufig diskutierte Speicherung der einem Teilnehmer zu-gewiesenen IP-Adressen durch Internetzugangsdienste, sondern enthielt auch andere Vorschrif-ten für andere Dienste wie etwa Email. Die Vorschriften hierzu in §113a Abs. 3 verlangtenvereinfacht gesagt eine Protokollierung und Speicherung, wer wem wann und wie eine Emailgeschickt hat, wobei der Inhalt der Email nicht gespeichert wird. Übertragen auf die klassischePost würde dies bedeuten, dass man jeden Briefumschlag vor der Zustellung kopiert und fürsechs Monate speichert und außerdem noch festhält, wer wann welchen Brief in welchen Kastengeworfen hat. Diese Daten werden derzeit bei gewöhnlichen Briefen natürlich nicht gesammelt,und daher stellt sich schon die Frage, womit diese Ungleichbehandlung zwischen elektronischerund herkömmlicher Post eigentlich zu begründen ist.
Es ist also nicht verwunderlich, dass Kritiker in diesen Maßnahmen einen Paradigmenwechselim Datenschutz und einen ersten Schritt in den Überwachungsstaat sahen und sie für verfas-sungsrechtlich bedenklich hielten. Das Bundesverfassungsgericht hat ihnen Recht gegeben unddas Gesetz am 2. März 2010 für verfassungswidrig erachtet und für nichtig erklärt [BVerfG10].Allerdings können die Gegner der Vorratsdatenspeicherung das Urteil nicht als Erfolg verbuchen.Leitsatz 1 des Urteils lautet nämlich: „Eine sechsmonatige vorsorglich anlasslose Speicherungvon Telekommunikationsverkehrsdaten durch private Diensteanbieter (...) ist mit Art. 10 GGnicht schlechthin unvereinbar.“ Nach Ansicht des Bundesverfassungsgerichts muss aber eine be-sonders sichere Speicherung der Daten vorgeschrieben sein und eine Nutzung der Daten kannnur erfolgen, „wenn sie überragend wichtigen Aufgaben des Rechtsgüterschutzes dienen. Im Be-reich der Strafverfolgung setzt dies einen durch bestimmte Tatsachen begründeten Verdacht einerschweren Straftat voraus. Für die Gefahrenabwehr und die Erfüllung der Aufgaben der Nachrich-tendienste dürfen sie nur bei Vorliegen tatsächlicher Anhaltspunkte für eine konkrete Gefahr fürLeib, Leben oder Freiheit einer Person, für den Bestand oder die Sicherheit des Bundes odereines Landes oder für eine gemeine Gefahr zugelassen werden.“
1.9 Übungsaufgaben 17
Somit hat das Bundesverfassungsgericht das Gesetz zwar verworfen und einer möglichen Vor-ratsdatenspeicherung gewisse Grenzen gesetzt, sie aber nicht prinzipiell verboten. Gegenwärtigwerden neue Gesetzentwürfe zur Vorratsdatenspeicherung vorbereitet. Es ist also zu erwarten,dass die Diskussionen um dieses Thema weitergehen werden.
Rein technisch gesehen darf der Sinn der Vorratsdatenspeicherung bezweifelt werden. Esist nicht schwer, durch den Gebrauch bekannter Technologien oder der Inanspruchnahme vonDiensten ausländischer Anbieter zu verhindern, dass durch die Vorratsdatenspeicherung ermitt-lungstechnisch relevante Daten bereitstehen, beispielsweise durch die Verwendung eines im Aus-land ansässigen Email-Providers, der ja an die oben genannten Gesetze nicht gebunden ist, denEinsatz von Tunneling (siehe Abschnitt 13.2) oder der Verwendung von ausländischen Anony-misierdiensten wie in Abschnitt 13.3.9 skizziert.
Somit werden technisch etwas versiertere Kriminelle einfach verhindern können, dass durchdie Vorratsdatenspeicherung für die Strafverfolgung brauchbare Informationen anfallen. Tech-nisch weniger versierte Kriminelle könnten ihre Kommunikation wieder auf den gewöhnlichenPostweg umstellen und so ebenfalls die Vorratsdatenspeicherung umgehen.
1.8 Zusammenfassung
Unter IT-Sicherheit verstehen wir den Schutz von Informationen und Informations-systemen gegen unbefugte Zugriffe und Manipulationen und die Sicherstellung derVerfügbarkeit der durch die Systeme bereitgestellten Dienste für legitime Benutzer.Die wichtigsten Ziele von IT-Sicherheit sind Vertraulichkeit, Integrität, Verfügbar-keit, Authentizität, Authentifikation, Verbindlichkeit und Autorisation. Das vorsätz-liche Aushebeln von IT-Sicherheitsmechanismen bezeichnen wir als Angriff. Dabeiwird zwischen aktiven Angriffen, bei denen der Angreifer selbst ins Geschehen ein-greift, und passiven Angriffen, etwa durch Mithören, unterschieden. Schwachstellen,die Angriffe ermöglichen, können in jeder Phase des Entwicklungsprozesses einesSystems auftreten. Die Ziele eines Angriffs können sehr unterschiedlich sein. Dabeitreten zunehmend auch kriminelle Motive auf. Maßnahmen zur Verbesserung der IT-Sicherheit werden in der Praxis häufig nach wirtschaftlichen Kriterien beurteilt. Umdie IT-Sicherheit langfristig aufrecht erhalten zu können, muss sie als Prozess in derInstitution verankert sein. Unternehmen und andere Institutionen sind durch gesetz-liche Vorschriften dazu verpflichtet, organisatorische und administrative Maßnahmenzur Sicherung der IT-Strukturen zu ergreifen, beispielsweise durch das Datenschutz-gesetz.
1.9 Übungsaufgaben
1.9.1 Wiederholungsaufgaben
Aufgabe 1.1:
Definieren Sie den Begriff „IT-Sicherheit“.
18 1 Einführung
Aufgabe 1.2:
Beschreiben Sie die Ziele von IT-Sicherheit. Erklären Sie die verwendeten Begriffe und gebenSie jeweils ein Beispiel.
Aufgabe 1.3:
Erläutern Sie mögliche Angriffe auf die IT-Sicherheit.
Aufgabe 1.4:
Definieren Sie den Begriff „Schwachstelle“. Nennen Sie Phasen des Entwicklungsprozesses ei-nes Systems, in der Schwachstellen entstehen können und geben Sie jeweils ein Beispiel.
Aufgabe 1.5:
Ein Unternehmen betreibt eine Firewall, für die gerade eine Schwachstelle bekannt wurde. Esbesteht die Möglichkeit, die Schwachstelle sofort zu schließen, was mit Kosten in Höhe von19.000 Euro für einen externen Berater verbunden wäre. In einem Monat wird ein Patch des Her-stellers der Firewall verfügbar sein, durch den die Schwachstelle ebenfalls beseitigt wird. DieIT-Abteilung rechnet damit, dass im Fall eines Ausnutzens der Schwachstelle ein Schaden inHöhe von 200.000 Euro entstehen würde. Die Wahrscheinlichkeit dafür, dass die Schwachstelleinnerhalb eines Monats für einen Angriff genutzt wird, betrage p. Geben Sie an, welche Alterna-tive in Abhängigkeit von p zu wählen ist, um die erwarteten Kosten zu minimieren, und gebenSie die erwarteten Kosten an.
Aufgabe 1.6:
Nennen und beschreiben Sie die einzelnen Schritte des beschriebenen IT-Sicherheitsprozesses.
Aufgabe 1.7:
Beschreiben Sie kurz die rechtlichen Rahmenbedingungen für IT-Sicherheit in Deutschland.
Aufgabe 1.8:
Was ist der Unterschied zwischen „Authentizität“ und „Verbindlichkeit“?
1.9.2 Weiterführende Aufgaben
Aufgabe 1.9:
Lesen Sie das Bundesdatenschutzgesetz [BDSG] und erläutern Sie die gesetzlich festgelegtenAufgaben und Befugnisse des Beauftragten für den Datenschutz in einer Institution und desBundesbeauftragten für den Datenschutz und die Informationsfreiheit.
