23. TB (2001) - Aus dem IT-Labor

23. Tätigkeitsbericht (2001)

10	Aus dem IT-Labor
10.1	BackUP-Magazine entwickeln sich zu Bestsellern
	Die backUP-Magazine, die als Hilfsmittel für schleswig-holsteinische Behörden gedacht waren, haben bundesweit Aufmerksamkeit gefunden. Die Nachfrage übersteigt alle Erwartungen. Die im letzten Tätigkeitsbericht vorgestellte Neugestaltung unserer sicherheitstechnischen Hilfestellungen für die Praktiker (vgl. 22. TB, Tz. 11.2) ist unerwartet positiv aufgenommen worden. Bisher haben wir zwei backUP-Magazine herausgegeben: eines zum Thema "Planung, Erstellung und Umsetzung von IT-Sicherheitskonzepten", das andere befasst sich mit dem Komplex "MS-Windows NT - Sicherheitsmaßnahmen und Restrisiken". Obwohl wir sie grundsätzlich nur für die Bedürfnisse der Daten verarbeitenden Stellen im Lande entwickelt und keine gezielte Werbung betrieben haben, kommen täglich neue Bitten um Überlassung von Exemplaren aus ganz Deutschland auf unseren Schreibtisch. Hier zeigen sich die Auswirkungen der Präsentation unserer Arbeit auf der Homepage im Internet (seit kurzem auch im virtuellen Datenschutzbüro) und des Erfahrungsaustausches in Kreisen der behördlichen und betrieblichen Datenschutzbeauftragten. Die Auflage der Magazine liegt derzeit bei 4.000. Ein Rückgang der Nachfrage ist nicht absehbar.
	Leider lässt die personelle Ausstattung unseres IT-Labors und die notwendige Priorität der Prüfungs- und Beratungstätigkeiten eine zügige Bearbeitung der vielen von den Praktikern vorgeschlagenen zusätzlichen Themenbereichen nicht zu. Wir streben gleichwohl an, jährlich ein bis zwei backUP-Magazine herauszugeben. www.datenschutzzentrum.de/material/themen/edv/backup/
10.2	Windows 2000 erfordert erhebliche Investitionen
	Die Ausgestaltung des IT-Labors und die Ausbildung der Prüfer und Berater des Unabhängigen Landeszentrums für Datenschutz richten sich nach der IT-Landschaft in den schleswig-holsteinischen Behörden. Weil demnächst viele Betriebssysteme von Windows NT auf Windows 2000 umgestellt werden, muss das ULD nicht unerhebliche Investitionen tätigen. Das informationstechnische Know-how unserer Mitarbeiterinnen und Mitarbeiter und die Hard- und Softwareausstattung unseres IT-Labors orientieren sich in erster Linie an den Produkten und Verfahrensweisen, die konkret in der schleswig-holsteinischen Verwaltung eingesetzt werden. Obwohl eine Vielzahl von Betriebssystemen, Datenbankgeneratoren, Bürokommunikationspaketen und Standardapplikationen auf dem Markt angeboten werden, kommt in Schleswig-Holstein nur ein begrenzter Ausschnitt aus diesem breiten Spektrum zum Einsatz. Auf der Betriebssystemebene und im Bereich der Bürokommunikationssoftware sind dies im Wesentlichen Produkte der Firma Microsoft. Dies hat zur Folge, dass wir in unserem IT-Labor für Zwecke der Beratung der Behörden, der Aus- und Fortbildung unserer Mitarbeiter und zu Testzwecken mehrere Konfigurationen auf der Basis des Betriebssystems Windows NT vorhalten. Es handelt sich dabei um ein Referenzsystem, das wir der in den meisten kleineren Behörden (z. B. Gemeinden und Ämtern) eingesetzten Hard- und Software möglichst genau nachgebildet haben, um typische Schwachstellen und deren Behebung zu analysieren bzw. zu erproben. Ein weiteres System dient vorwiegend für "Experimente". Es unterliegt ständigen Veränderungen, um Lösungsansätze für die Behebung von grundsätzlichen Sicherheitsschwächen in den marktgängigen Produkten zu entwickeln und um uns besonders interessierende Softwareprodukte unter sicherheitstechnischen Aspekten testen zu können (Beispiele: Wie effektiv sind allgemein verfügbare Passwort-Crack-Programme tatsächlich? Wie leicht bzw. wie schwierig ist es für einen "normalen" Benutzer, die Grenze zur Administrationsebene zu durchbrechen? Steckt tatsächlich eine Firewall drin, wo "Firewall" draufsteht?). Ein drittes System dient primär zu Demonstrations- und Schulungszwecken. An ihm wird den Mitarbeiterinnen und Mitarbeitern der geprüften bzw. beratenen Behörden dargestellt, welche tatsächlichen Auswirkungen die von uns vorgeschlagenen Maßnahmen und Verfahrensweisen zur Verbesserung der Datensicherheit haben (Vorher-nachher-Effekt). Diese fein aufeinander abgestimmte Systemlandschaft ist in den letzten drei Jahren mit nicht unerheblichen Kosten aufgebaut worden (vgl. 22. TB, Tz. 9.3 bis Tz. 9.5). Sie wird so lange genutzt werden können, wie das Betriebssystem Windows NT in der schleswig-holsteinischen Verwaltung zum Einsatz kommt. Da dieses Betriebssystem aber in nächster Zeit in vielen Daten verarbeitenden Stellen durch das Betriebssystem Windows 2000 abgelöst wird, bedarf es auch in unserem IT-Labor entsprechender Hardware-, Software- und Schulungsinvestitionen. Es ist praktisch nicht möglich, die unterschiedlichen Softwareprodukte wechselweise auf der gleichen Hardware ablaufen zu lassen. Der dadurch entstehende Umrüstaufwand lässt einen effektiven Testbetrieb nicht zu. Deshalb haben wir im abgelaufenen Jahr damit begonnen, unser IT-Labor um eine Sektion "Windows 2000" zu ergänzen. Das bedeutet im Ergebnis eine Verdoppelung des Hardwarebestandes und der Softwarelizenzen. Wenn im Jahr 2001 entsprechende Räumlichkeiten zur Verfügung stehen, kann die Maßnahme abgeschlossen werden. Daneben hat die Ausbildung und das Training unserer Prüfer und Berater begonnen. Da nur wenige Schulungsanbieter in Deutschland Kurse auf dem für uns erforderlichen Niveau (es macht einen Unterschied, ob Administratoren oder die Kontrolleure der Administratoren ausgebildet werden) anbieten, müssen wir die in der Wirtschaft üblichen hohen "Consulting-Tarife" akzeptieren. Hinzu kommt, dass die Funktionalität des Betriebssystems Windows 2000 gerade im Bereich der Sicherheitseinstellungen so umfangreich ist, dass eine Schmalspurausbildung mehr Probleme brächte, als sie löst. Wir gehen davon aus, dass die Gesamtkosten für eine umfassende Ausbildung pro Prüfer/Berater über mehrere Jahre verteilt ca. 25.000 DM betragen werden. Bei der Bereitstellung der entsprechenden Finanzmittel ist zu bedenken, dass es sich weder bei den Hard- und Softwareinvestitionen noch bei der Aus- und Fortbildung der Mitarbeiter um optionale Maßnahmen handelt, sondern um eine "Conditio sine qua non", um der Prüfungs- und Beratungsaufgabe gemäß dem LDSG auch künftig gerecht werden zu können.
10.3	Datenspione aus dem Internet - was hilft?
	Stets wird vor den Risiken aus dem Internet gewarnt - doch wie groß ist die Gefahr tatsächlich, dass die eigenen Daten ausspioniert werden? In unserem IT-Labor sind wir der Frage nachgegangen, welche Angriffsmethoden bei welchen Systemkonfigurationen Erfolg versprechend sind. Aus den Ergebnissen dieser Untersuchungen leiten wir dann die notwendigen Sicherheitsmechanismen ab. Um zu verstehen, wo überall ein Internet-Angriff ansetzen kann, muss man sich die Technik bei der Internet-Anbindung verdeutlichen: Der Nutzer arbeitet an seinem Computer, auf dem meist zumindest ein Browser zur WWW-Nutzung und ein E-Mailprogramm installiert sind. Sein Computer ist über eine Netzwerkkarte oder ein Modem mit dem Gateway ins Internet verbunden, das der Provider zur Verfügung stellt. Die Kommunikation im Internet läuft über eine Vielzahl von Rechnern unterschiedlicher Betreiber ab. Diese Rechner leiten beispielsweise E-Mails und Webanfragen in Form von Datenpaketen weiter. Webserver, die die Angebote enthalten, antworten auf Webanfragen. An all diesen Punkten können Angreifer aktiv werden. Die Angriffe unterscheiden sich im Vorgehen: Angriffe von außen Die Angreifer können versuchen, eine unmittelbare Verbindung über das Internet zu dem Zielobjekt herzustellen. Bei den Rechnern des Nutzers geht dies nur, wenn dieser online, also mit angeschaltetem Modem, arbeitet und so konfiguriert ist, dass er eingehende Verbindungen gestattet. Nur wenige Nutzerrechner müssen eingehende Verbindungen erlauben. Anders ist dies dort, wo fernadministriert wird, Telearbeit realisiert ist oder bestimmte Dienste, wie etwa auf einem Webserver, angeboten werden. Für das direkte Aufbauen von Verbindungen muss dem Angreifer die Rechneradresse bekannt sein. Wird eine dynamische IP-Adresse aus einem größeren Pool verwendet - wie bei den meisten Nutzern, die sich über Provider einwählen -, wechselt die Zuordnung zwischen Rechner und Adresse bei jeder Einwahl. Dies erschwert einen spezifischen Angriff auf einen Nutzercomputer. Einige Nutzer und alle Diensteanbieter haben statische, d. h. nicht ständig wechselnde IP-Adressen, sodass in diesen Fällen ein spezifischer Angriff leichter möglich ist. Häufig werden bei der Internet-Nutzung Proxys (Stellvertreter) eingesetzt, deren Adresse nach außen bei allen Anfragen sichtbar wird. In vielen Fällen sind die dahinter liegenden Rechner gar nicht aus dem Internet adressierbar; eine direkte Verbindung kann also nicht von außen hergestellt werden. Infektionen aus dem Netz Der Nutzer kann sich selbst versehentlich bösartige Inhalte auf den Rechner holen: Die Infektionswege für Viren und Trojanische Pferde sind vielfältig. Jeder Datenaustausch kann Gefahren bergen, ob über Diskette, CD-ROM oder Internet, ob per E-Mail, Dateiendownload oder aktive Inhalte auf Webseiten. Die bösartigen Programme schleichen sich über denselben Zugang ein, den auch die nützlichen Inhalte nehmen. Auf dem Zielrechner angekommen, können sie eine beliebige Funktionalität, meist lediglich eingeschränkt durch die Zugriffsrechte des Nutzers, entfalten, z. B. die Daten manipulieren oder löschen, E-Mails verschicken, selbst Verbindungen im Internet aufbauen und Daten von der Festplatte übertragen. Viele Viren und Trojaner erlangen weite Verbreitung. Sind sie erst einmal den Virenjägern aufgefallen, werden die Antivirenprogramme um neue Abwehrstrategien erweitert und aktualisiert. Es ist aber auch denkbar, dass Trojanische Pferde individuell zugeschnitten werden, um ein einzelnes Rechnersystem spezifisch anzugreifen. Ein solches gezieltes Ausspionieren kann jahrelang unentdeckt bleiben und sehr viel mehr Schaden anrichten als beispielsweise der I-LOVE-YOU-Wurm. Die Schadensfunktion kann in einem E-Mail-Anhang (Attachment) versteckt sein, unter bestimmten Bedingungen reicht sogar der E-Mail-Text, der von einigen Windows-Mailprogrammen als Code interpretiert wird. Auch angehängte Visitenkarten können bösartige Funktionen auslösen. Wir haben in unserem IT-Labor unter Ausnutzung bekannter Softwarefehler einen Angriff entwickelt und untersucht, bei dem der Angreifer eine E-Mail an das Opfer schickt. Diese E-Mail hat nach dem Anzeigen dafür gesorgt, dass eine Verbindung, analog zum Surfen im Web, zu einem vom Angreifer kontrollierten Rechner aufgebaut wurde und darüber dann Daten von der Festplatte - unbemerkt vom Betroffenen - übertragen wurden. Missbrauch von Knotenrechnern Auch wenn der Rechner selbst nicht aus dem Internet heraus angegriffen werden kann, sind die Daten nicht sicher: Eine Methode besteht darin, die Zwischenrechner im Internet zu attackieren und dann ihre Kommunikation mitzulesen oder zu verändern. Welche Schutzmechanismen gibt es? Was hilft wo? Korrekt installierte und gewartete Firewalls (vgl. 22. TB, Tz. 7.1.1) helfen gegen Zugriffe, die gegen vorab definierte Regeln verstoßen. Damit kann man also beispielsweise recht gut einen unerwünschten Verbindungsaufbau aus dem Internet heraus unterbinden. Zur Absicherung von lokalen Netzen setzt man hier in der Regel eigene Firewall-Rechner ein, für den Hausgebrauch bei einem Privatnutzer tut es oft auch eine PC-Firewall-Software auf dem Computer. Firewalls helfen aber nicht gegen Viren und Trojanische Pferde. Zusätzliche Inhaltsfilter können immerhin bekannten bösartigen Code herausfiltern. Dies funktioniert aber nur dann auf den Firewalls, wenn dort die Kommunikation unverschlüsselt abläuft. Zusätzlich sollte man also auf allen Nutzerrechnern selbst ebenfalls aktuelle Antivirussoftware bereithalten. Sind die Trojaner noch nicht bekannt oder individuell vom Angreifer zugeschnitten, helfen Virenscanner oder verwandte Tools nicht. Man kann versuchen, das Übel dadurch in den Griff zu bekommen, dass besonders anfällige Mechanismen deaktiviert oder solche Programme ersetzt werden. Dies bedeutet meist gleichzeitig einen Verzicht auf eine gewisse Funktionalität - hier muss man also abwägen. Auf jeden Fall sollte man unbekannte aktive Komponenten wie ActiveX, ActiveScripting oder VisualBasicScripting deaktivieren, da sich damit quasi beliebige (bösartige) Funktionen ausführen lassen. Auch Java und JavaScript können Risiken bergen. Inwieweit man sich einschränkt, was akzeptierte Dateiformate (Makrovirenrisiko), eingesetzte Browser, Mailprogramme und Betriebssysteme (bei Häufung von sicherheitsrelevanten Fehlern) oder den Zugriff auf unbekannte Webseiten angeht, muss von Fall zu Fall festgelegt werden.
	Bei der Anbindung eines lokalen Netzes an das Internet wird man häufig eine sehr restriktive Policy allerdings nur schwer durchsetzen können. Jede Freischaltung weiterer Funktionen - z. B. durch neue Anforderungen nach einiger Zeit - kann riskant sein. Aus diesem Grund haben wir für das virtuelle Datenschutzbüro (vgl. Tz. 9.1) eine Konfiguration realisiert, die zusätzlich zur herkömmlichen Absicherung mit einem Firewall-System eine weitere Schutzzone vorsieht. In dieser dem internen Netz vorgelagerten Zone wird die Internet-Nutzung von den Arbeitsplätzen aus ferngesteuert, d. h. Tastatur- und Mauseingaben werden weitergeleitet, die Grafikausgabe gelangt zurück auf die Monitore der Mitarbeiter. Die Methode für diese Fernsteuerung heißt VNC - Virtual Network Computing und wurde als Open-Source-Programm von AT&T entwickelt. In unserer Konfiguration läuft die Software auf Linux-Rechnern, die gegen die weit verbreiteten auf Microsoft-Produkte zugeschnittenen Angriffe immun sind. Sollte es zu einem Angriff kommen, können wegen des Fernsteuerungsmechanismus im internen Netz prinzipiell keine Daten von außen eingesehen oder Programme ausgeführt werden. Eine goldene Regel gibt es im Bereich der Datensicherheit, speziell für die Nutzung des Internets: Es werden ständig neue Sicherheitsrisiken entdeckt, auf die man umgehend durch "Patchen" des Systems reagieren muss. Denn: "Sicherheit ist kein Produkt, sondern ein Prozess." (Bruce Schneier)
10.4	PGP-Server als "Big SmartCard"
	Eine sichere Einbindung von Kryptosoftware wie "PGP - Pretty Good Privacy" könnte konzeptionell am besten über eine SmartCard realisiert werden, die die jeweiligen (geheimen) Schlüssel enthält. Da eine solche SmartCard-Lösung nicht zur Verfügung stand, haben wir in unserem IT-Labor für das virtuelle Datenschutzbüro eine Art Nachbau einer solchen Funktionseinheit in Form eines speziellen PGP-Servers entwickelt. Dieser PGP-Server arbeitet über ein definiertes Protokoll mit OpenSSL (Secure Socket Layer) auf TCP/IP-Basis. Die Clients tauschen die PGP-Befehle und Daten mit dem Server über ein Skript aus. Der PGP-Server hat die Aufgabe, das PGP-Verschlüsselungsprogramm sowie die dazugehörigen öffentlichen und geheimen Schlüssel vorzuhalten und die kryptographischen Operationen auf diesem gesonderten Rechner ablaufen zu lassen. Die Handhabung verschlüsselter E-Mails soll für die Nutzer einfach und transparent sein. Im Rahmen des virtuellen Datenschutzbüros schalten wir für den Internet-Zugriff der Dienststelle einen Virtual-Network-Computing-Server (VNC) zwischen (vgl. Tz. 10.3). Verschlüsselte Dateien direkt in das interne Netz zu übertragen ist unpraktikabel und stellt obendrein ein Sicherheitsrisiko dar, weil der Inhalt vor dem Entschlüsseln nicht auf Viren und Trojanische Pferde geprüft werden kann. Auf der anderen Seite ist das Risiko unbefugter Zugriffe auf die geheimen Schlüssel vorhanden, wenn sie auf einer Festplatte gespeichert sind (z. B. Zugriff bei Diebstahl des Rechners). Ferner besteht das Risiko, dass auf dem VNC-Server andere Programme bzw. Benutzer Manipulationen vornehmen. Aus diesen Gründen ist eine physikalische Trennung der Verarbeitungslogik zwingend erforderlich. Als weitere Schutzmaßnahme lässt sich das Dateisystem des PGP-Servers von außen nicht ansprechen, die Konsole ist gesperrt, und die PGP-Schlüssel befinden sich nur im Arbeitsspeicher. Die Methode, die PGP-Schlüssel auszulagern, ist in einer Dienststelle zum Zweck der Ver- und Entschlüsselung dienstlich relevanter Daten unproblematisch. Eine Auslagerung eines mitarbeiterbezogenen, geheimen Signierschlüssels außerhalb des jeweiligen Mitarbeiterbereichs kommt jedoch nicht infrage, da eine Nutzung durch Unberechtigte und damit ein unberechtigtes Auftreten unter der Identität eines anderen Mitarbeiters nicht ausgeschlossen werden kann: Möchte man also über die Verschlüsselung hinaus den Mitarbeitern individuelle digitale Signaturen ermöglichen, die ihnen zurechenbar sein sollen (z. B. für Willenserklärungen oder Mitzeichnungszwecke), müssen die Signierschlüssel im persönlichen Bereich des Mitarbeiters verbleiben (vgl. Tz. 8.8).
10.5	Versteckt und doch entdeckt - verborgene Daten in Dateien
	Textdateien, die mit weit verbreiteten Bürokommunikationsprodukten erstellt werden, enthalten mehr Informationen, als im Ausdruck schwarz auf weiß zu sehen ist. Diese Informationen verraten dabei einiges über den Autoren und die Entstehungsgeschichte einer Datei. Dies kann dann zu einem Problem werden, wenn solche Dateien nicht ausgedruckt, sondern im Web publiziert oder per E-Mail weitergegeben werden. Wird bei der Installation des Textverarbeitungsprogramms WinWord beispielsweise ein Autorenname eingegeben, so wird dieser automatisch mit jedem neu erstellten Dokument verknüpft. Die Weitergabe des Autorennamens kann bei Firmen oder Behörden unerwünscht sein. Außerdem ist der Empfänger einer solchen Datei in der Lage abzurufen, wann der Autor die Datei erstellt, zuletzt geändert, geöffnet, gedruckt und gespeichert hat und wie lange sie für Bearbeitungen geöffnet war. Daten wie diese lassen sich zur Arbeitsplatzüberwachung benutzen oder können in strategisch relevanten Situationen Rückschlüsse auf die Schwierigkeiten der Texterstellung zulassen. In dieser Hinsicht noch schwerer wiegt allerdings, dass der Empfänger sogar die vollständige Entstehungsgeschichte eines Textes nachvollziehen kann, sofern der Autor die "Änderungsfunktion" benutzt hat. Diese wird insbesondere dann gern verwendet, wenn mehrere Autoren nacheinander an einem Text arbeiten. Öffnet man eine solche Textdatei mit einem ASCII-Editor, der sämtliche Zeichen einer Datei anzeigt, lassen sich weitere unter der Oberfläche schlummernde Informationen zutage fördern: Man findet die Namen der Rechner und der Verzeichnisse, in denen der Text zwischenzeitlich gespeichert war, was Rückschlüsse auf die interne Organisation und ein etwaiges "Konfliktmanagement" ermöglicht. Weitaus gravierender aber ist, dass man auch gelöschte Textpassagen in der Datei gespeichert wiederfindet: Das verständlicherweise häufig genutzte "Schnellspeichern" löscht in der Datei keine Texte, sondern markiert sie nur als gelöscht. Möchte man sichergehen, dass solche Daten in elektronischen Publikationen oder bei der Weitergabe per E-Mail nicht mehr enthalten sind, dann empfiehlt es sich generell, beim endgültigen Abspeichern ein anderes Format zu wählen. Soll die Datei weiterverarbeitbar sein, so bietet sich dafür das von Microsoft standardi-sierte Rich Text Format (RTF) an. Hierbei ist zu beachten, dass die mittels der Änderungsfunktion erstellten und nacheinander verworfenen Textbestandteile nicht verschwinden. Zusätzlich in Kauf genommen werden muss, dass Feinheiten des Layouts nicht erhalten bleiben, etwaig genutzte Formatvorlagen verloren gehen können und nicht gewährleistet ist, dass ein anderes Textverarbeitungsprogramm dieses Format fehlerfrei einlesen kann. Unser IT-Labor hat die Tücken von Office-Programmen, wenn sie in einen elektronisch gestützten Workflow eingebunden sind, systematisch untersucht und Gegenmaßnahmen oder Alternativen für einige Fälle entwickelt. Es zeigt sich, dass in erschreckend vielen Fällen der Empfänger einer solchen Datei heikle und vor allem auch falsche Informationen erhält, weil dem Autoren seitens der Programme keine hinreichende Kontrolle über den Inhalt seines Dokuments eingeräumt wird. Tipps zu diesem Problem werden veröffentlicht unter: www.datenschutzzentrum.de/it-labor/
10.6	Privacy-Tools für souveräne Bürger
	Das Recht auf informationelle Selbstbestimmung bedarf nicht nur der gesetzlichen, sondern auch der technischen Unterstützung. Effektives Identitätsmanagement könnte genau der richtige Ansatz sein. Nutzerprofile überall im Internet - die Datenschützer schlagen Alarm! Was wäre aber mit der Möglichkeit, dass die Nutzer selbst Profile mit ihren Daten anlegen und bestimmen, unter welchen Umständen sie wem welche Daten geben? Dies ist die Grundidee von Identitätsmanagement, der technischen Umsetzung des Rechts auf informationelle Selbstbestimmung. Manche Privacy-Tools (vgl. 22. TB, Tz. 9.3) schmücken sich bereits mit dem Etikett "Identitätsmanagement". Wir haben einige davon in unserem IT-Labor unter die Lupe genommen. Ergebnis: Nichts davon realisiert wirklich den erhofften Datenschutz. Die Nutzer haben zwar bei einigen Produkten die Möglichkeit, mehrere Profile mit eigenen Daten anzulegen und zu verwalten, doch bei fast allen Produkten (z. B. Digitalme, Persona oder Microsoft Passport) lagern die Nutzerinformationen auf den Servern der Anbieter. Selbst wenn die Nutzer auswählen können, unter welchen Umständen sie wem welche Daten offenbaren, erfährt der Anbieter über seinen Server alles: die gesamten Daten und sogar Teile über den Anwendungskontext, in dem sie genutzt werden (z. B. ein Online-Einkauf) - der Wolf im Schafspelz. Die Auswahl zwischen verschiedenen Profilen erfolgt in der Regel rein manuell. So gut dies für die Transparenz ist - der Nutzer, der explizit sein Profil freischaltet, ist sich dessen bewusst -, so leicht kann man die Auswahl des Profils vergessen oder dabei einen Fehler machen: Schon hat man ungewollt seine Daten hergegeben. Stattdessen sollte der Nutzer hier besser unterstützt werden, z. B. mit einer Protokollierung, wann man welche Profile genutzt hat - selbstverständlich auf der eigenen Festplatte und nicht wieder auf dem Anbieterserver. Die Dienste laufen im Internet ab - mit all seinen Schwächen, was Datenschutz angeht. Nur wenige Anbieter nutzen standardmäßig Verschlüsselung, Anonymität ist selbstverständlich nicht gegeben. Hier ist also eine Ergänzung mit Anonymitäts- und anderen Datensicherheits-Tools (vgl. Tz. 9.2) notwendig. Alle Dienste sind speziell auf bestimmte Anwendungen zugeschnitten, noch fehlt ein Standard, der eine universellere Nutzung möglich macht. Alles in allem zeigt sich, dass es zurzeit keineswegs umfassende Identitätsmanager für mehr Selbstdatenschutz im Netz gibt. Allerdings existieren einige hoffnungsvolle Ansätze: Erste Tools belassen die Daten beim Nutzer und sehen automatisch eine Verschlüsselung vor. Für mehr Universalität ist der Online-Privacy-Standard P3P (vgl. Tz. 8.6) prädestiniert: Seine Implementierungen könnten verschiedene eigene Profile im Nutzerbereich unterstützen. Dies kann ein Weg sein, um wirkliches Identitätsmanagement für alle Aktionen im Netz auf die Schiene zu setzen und damit den Nutzern einen selbstbestimmten Datenschutz zu ermöglichen.