26. Tätigkeitsbericht (2004)

10

Aus dem IT-Labor

10.1

Wireless LAN und Bluetooth


Keine Kabel mehr, über die man stolpern kann, einfach auspacken, anmachen und alles läuft - in der Werbung werden drahtlose Netzwerke (Wireless LAN) als bequem, flexibel und unkompliziert dargestellt. In immer mehr Firmen und Privathaushalten wird daher schon WLAN-Technik eingesetzt. Das freut nicht nur die Hersteller und Händler solcher Produkte, sondern auch Zeitgenossen, die per WLAN Zugriff auf Daten nehmen wollen, die sie nichts angehen.

Seit Herbst 2000 wurden immer wieder neue Lücken in der Sicherheitsarchitektur ”Wire Equal Privacy” (WEP) des WLAN-Standards bekannt. Bereits im Sommer 2001 waren alle verwendeten Zugangskontroll- und Verschlüsselungsmechanismen gebrochen. Entsprechende Tools zum Ausnutzen der bekannten Lücken sind kostenlos erhältlich. Alle WLAN-Betreiber sind davon betroffen. Viele namhafte Firmen haben daher eine Policy, die keinen WLAN-Zugang zum unternehmenseigenen Intranet zulässt.

Mit dem neuen Sicherheitsstandard WPA soll den bekannten Lücken nun begegnet werden. Allerdings ist WPA erst in Produkten enthalten, die den Standard 802.11i des Institute of Electrical & Electronics Engineers (IEEE) einhalten. Diese sind jedoch noch nicht breit verfügbar. Zwar besteht die Möglichkeit, auch mit vorhandener WLAN-Infrastruktur eine gesicherte Verbindung durch Einsatz des Protokolls IPsec zu realisieren, dies wird aber die meisten Heimanwender überfordern. Sie müssen beim Einsatz einer WLAN-Verbindung am heimischen DSL-Anschluss damit rechnen, dass auch andere diesen nutzen. Wer dann nicht über eine Flatrate verfügt, kann bei der nächsten Rechnung eine böse Überraschung erleben. Wer außerdem vertrauliche Daten wie E-Mails, Geheimnummern oder Kontoinformationen zum Online Banking auf seinem Rechner speichert, muss sich bewusst sein, dass diese nun auch von Dritten eingesehen werden können. Denn bei den aktuellen Geräten ist meist sogar die schwache WEP-Verschlüsselung im Auslieferungszustand abgeschaltet, und die Datenübertragung erfolgt ungeschützt.

Neben WLAN ist mit Bluetooth ein weiterer Standard für drahtlose Übertragungen auf dem Markt. Er kommt insbesondere zum Einsatz, um Geräte wie Drucker, Handy, Scanner kabellos miteinander zu verbinden, ist aber prinzipiell auch für eine Rechnervernetzung geeignet. Im Gegensatz zu WLAN unterstützt Bluetooth einen regelmäßigen Frequenzwechsel und erschwert damit sowohl ein Stören wie ein Abhören der Verbindung. Allerdings genügt es, ein Datenpaket abzufangen, um an die Hardwareadresse zu gelangen, die die Frequenzen definiert. Für Bluetooth sind bisher weniger Angriffsmuster bekannt als für WLAN; dies dürfte aber vor allem daran liegen, dass Bluetooth derzeit noch wenig verbreitet ist und nur selten als Basis für ein Netz zum Einsatz kommt. Der in Bluetooth implementierte 128-Bit-Algorithmus ”Safer+” (abgeleitet von DES) kann theoretisch gebrochen werden, wenn es einem Angreifer gelingt, einen ausreichend langen Datenstrom mitzuschneiden. Bluetooth-Kommunikationen sind in der Regel aber von kurzer Dauer. Somit ist ein Abfangen einer ausreichenden Zahl von Datenpaketen unwahrscheinlich, aber eben nicht ausgeschlossen.

Da jedes Bluetooth-Gerät über einen eindeutigen Identifizierungscode verfügt, ist es möglich, Personen z. B. anhand ihres Handys mit Bluetooth-Funktion zu identifizieren und zu verfolgen, ohne dass diese dies bemerken. Daher sollten in mobilen Geräten die drahtlosen Komponenten grundsätzlich deaktiviert sein und nur im Bedarfsfall vorübergehend eingeschaltet werden. Auch WLAN-Komponenten besitzen (wie alle Netzkarten) eine weltweit eindeutige Identifikation (MAC-Adresse). Bei einigen Karten lässt sich mit entsprechenden Hilfsprogrammen diese beliebig ändern, was aber keine praktikable Abhilfe ist.

Was ist zu tun?
Sofern der Einsatz eines drahtlosen Netzes nicht unabdingbar ist, sollte derzeit darauf verzichtet werden. Dies gilt insbesondere für die Verarbeitung von sensiblen Daten im Medizin- und Finanzbereich. Kommt man um den Einsatz von WLAN nicht herum, ist auf jeden Fall ein anerkanntes Sicherheitsprotokoll wie IPsec zu verwenden. Nicht benötigte WLAN- oder Bluetooth-Komponenten, etwa in Notebooks oder Handys, sollten auf jeden Fall deaktiviert werden.

10.2

Firewalls im Praxistest

Firewall ist nicht gleich Firewall. Sich für die richtige zu entscheiden, überfordert wegen ihrer Komplexität die meisten IT-Verantwortlichen. Ohne externen Sachverstand geht es in der Regel nicht.

Firewalls im klassischen Sinne haben grundsätzlich eine Achillesferse: Unabhängig von der Qualität der Filterung des eingehenden Datenverkehrs (der so genannte Inbound Traffic) können sie den ausgehenden Datenstrom (Outbound Traffic) nur unzureichend analysieren. Soll in einer Behörde beispielsweise das Surfen per Webbrowser möglich sein, so muss jeder Arbeitsplatzrechner mindestens über den Port 80 das http-Protokoll verwenden können. Welche Software dies im Einzelnen tut, kann eine herkömmliche Firewall nicht feststellen. Eine vorgeschaltete Firewall reicht nicht aus, wenn die Client-Rechner keine exakt definierte und unabänderliche Softwareausstattung aufweisen. Die Möglichkeit, Software aus dem Internet zu installieren, bedeutet ein Risiko für eine definierte Softwareumgebung. Findet fremde Software den Weg durch eine Firewall hindurch auf einen Client-Rechner, so hat sie dieselben Rechte wie die bereits installierte Software. Konkret bedeutet das, dass auch Schädlingsprogramme wie Viren und Würmer über dieselben Kanäle wie der Webbrowser nach außen gelangen können, ohne dass eine externe Firewall dies bemerken könnte. Hierzu sind zusätzlich zur Firewall aufwändige Content-Filter notwendig, die den Datenstrom inhaltlich analysieren.

Alternativ können aber auch so genannte Personal Firewalls zum Einsatz kommen. Diese Programme, die normalerweise als Firewall-Ersatz bei Privatanwendern dienen, sind in der Lage, bereits auf der Betriebssystemebene festzustellen, welche Applikationen Daten über das Netz senden. Ihr Vorteil liegt in der feineren Granulierung des Netzzugriffs: So kann beispielsweise nur dem installierten Webbrowser erlaubt werden, über Port 80 zu kommunizieren. Anderen Programmen kann derselbe Port verboten werden. Es ist ebenfalls möglich, einzelne IP-Adressen generell oder für bestimmte Applikationen zu sperren.

Besonders gute Personal Firewalls setzen zudem ein Hash-Verfahren ein, bei dem die zulässigen Programme mit einem eindeutigen Prüfwert versehen werden. Dadurch wird sichergestellt, dass unzulässige Programme gleichen Dateinamens nicht versehentlich freigegeben werden. Fremdprogramme, die beispielsweise den Dateinamen des freigegebenen Internet-Browsers tragen, werden so von der Personal Firewall anhand der falschen Prüfsumme identifiziert und abgeblockt. Der Vorteil einer Kombination aus Personal Firewall und vorgeschalteter Firewall liegt in der Begrenzung der Zugriffsrechte auf Applikationsebene.

Diese Darstellung zeigt auf, wie intensiv man sich bei der Beurteilung des Wirkungsgrades einer Firewall mit ihrem internen Aufbau und ihrer Positionierung auseinander setzen muss. Die Vielzahl der auf dem Markt angebotenen Produkte macht es allerdings unmöglich, für alle Spezifikationen ein entsprechendes Know-how vorzuhalten. Deshalb haben wir in einer Art Marktanalyse festgestellt, welches Produkt in der schleswig-holsteinischen Verwaltung am häufigsten eingesetzt wird. Die in der Praxis gebräuchlichste Standardkonfiguration haben wir in einem im Jahr 2003 gestarteten Projekt in unserem IT-Labor nachgebaut, um ihre Stärken und Schwächen zu analysieren und die dabei gewonnenen Erfahrungen im Rahmen von Prüfungen und Beratungen an die Praktiker weiterzugeben.

Derartige Installationen sind, wenn ”belastbare” Erkenntnisse gewonnen werden sollen, recht aufwändig. Allein für dieses Projekt waren folgende Komponenten erforderlich: Router, Firewall, Webserver, Mailserver, Sicherheitssoftware für E-Mail-Verkehr, Sicherheitssoftware für Webdienste und Verschlüsselungsserver. Nach dem Projektabschluss soll zu dem Thema ”Sicherer Internet-Anschluss” ein backUP-Magazin herausgegeben werden, in dem auch die Konzepte und Erfahrungen der beiden diesbezüglich zertifizierten Kreisverwaltungen (vgl. Tz. 9.2.3) berücksichtigt werden.

Was ist zu tun?
Verwaltungen, die unter den heutigen Gegebenheiten ihr lokales Netzwerk mit dem Internet verbinden wollen, sollten dies nicht ohne professionelle Beratung realisieren. Wegen der schwierigen Auswahl der richtigen Firewallkomponenten sollte eine Auditierung durch uns standardmäßig eingeplant werden. Dies führt zu einem 6-Augen-Prinzip bei der Umsetzung des Sicherheitskonzeptes (Behörde, externer Dienstleister, ULD).

10.3

Der Kampf gegen Spam

Der Versand von Spam-Mails hat in den letzten Jahren erheblich zugenommen. Viele Nutzer klagen über volle Mailboxen, in denen die relevanten Nachrichten kaum zu finden sind. Teilweise werden Nachrichten gar nicht zugestellt, weil das Mailpostfach überfüllt ist. Durch den Einsatz von Spam-Filtern, die die eingehende Mail vom Werbemüll trennen sollen, lassen sich nur teilweise befriedigende Ergebnisse erzielen. Besser ist es, präventive Maßnahmen zu ergreifen.

Besonders wichtig beim Umgang mit elektronischer Post ist es, mit der eigenen Mailadresse im Netz sehr vorsichtig umzugehen. Ist die Adresse einmal auf dem Verteiler eines Spam-Versenders gelandet, besteht keine realistische Möglichkeit mehr, der Werbeflut zu entkommen. Die gängigen Hinweise am Ende von Werbemails, mit deren Hilfe man sich von den Verteilern streichen lassen können soll, dienen zumeist nur einem Zweck: zu verifizieren, ob eine Spam-Mail gelesen worden ist. Sollte das der Fall sein (und bei einem Wunsch nach Entfernung vom Verteiler kann man davon ausgehen), gewinnt eine Mailadresse noch an Wert. Sie zählt nun erwiesenermaßen nicht zum Streuverlust, sondern wird tatsächlich gelesen - von einem potenziellen Kunden. Die erste Regel sollte daher sein, niemals auf eine Spam-Mail zu reagieren, weder durch Klick auf einen darin enthaltenen Link noch durch ein simples Reply. Beides bestätigt dem Absender nur die Mailadresse des Opfers.

Die eigene Mailadresse sollte nur vertrauenswürdigen Personen bekannt sein. Sie ist eine Adresse zur Kommunikation mit Kollegen, Geschäftspartnern, Freunden und Familienmitgliedern. Für alle anderen Kommunikationsvorgänge via E-Mail sollte man sich Alternativen überlegen. Hierzu gibt es verschiedene Möglichkeiten:

  • Zweitadresse bei einem Gratismailprovider

Mailadressen sind im Web relativ einfach zu bekommen, und die Einrichtung eines Webmail Accounts ist schnell erledigt. Dabei sollte ein besonderes Augenmerk auf die zur Anmeldung notwendigen Daten gelegt werden. Monatliches Einkommen und Familienstand sind zur Diensterbringung vollkommen unnötig. Es sollten daher Freemail Provider bevorzugt werden, die möglichst wenige Daten für die Anmeldung erheben. Wer sich eine Zweitadresse angelegt hat, kann diese für Online-Shopping, Anmeldungen auf Webseiten und ähnliche Aktivitäten im Internet verwenden. Sollte die Werbepost dann irgendwann überhand nehmen, kann man solch eine Zweitadresse einfach wieder löschen oder, wenn der Mailprovider dies nicht anbietet, verwaisen lassen und einen neuen Account anlegen. Der Vorteil dieser Lösung liegt in der Überschaubarkeit der Mailadressen: eine für Freunde, eine für Spam.

  • Eigene Domain mit Mailboxen

Wer eine eigene Homepage besitzt, hat häufig mindestens ein Mailpostfach über diese Domain. Hier ist es besonders einfach, sich eine Zweitadresse zu generieren. Bei Bedarf kann diese dann einfach gelöscht bzw. umbenannt werden. Elegant sind auch so genannte Catch-All-Accounts, die alle eintreffenden Mails zu einer Domain in eine einzige Mailbox schicken, unabhängig vom Text vor dem @-Zeichen. Wer so einen Account von seinem Provider bekommt, kann im Web kurzerhand ”personalisierte” Mailadressen vergeben: In ein Eingabeformular auf einer fremden Webseite wird einfach die Adresse <fremde-Webseite>@<eigene-Domain> eingetragen. Sollte dann irgendwann Spam eintreffen, lässt sich anhand der Adresse erkennen, wer die jeweilige Mailadresse an den Spammer weitergegeben hat. Dann ist es möglich, die spezielle Adresse fortan zu blocken oder einfach umzuleiten - an denjenigen, der die Adresse weitergegeben hat.

  • Webservices für temporäre Adressen

Ein neuer Trend sind Webseiten, über die der Nutzer kurzfristig temporäre Mailadressen erzeugen kann. Das ist vor allem dann nützlich, wenn eine Adresse nur einmalig zu Verifikationszwecken benötigt wird. Wird beispielsweise für den Download einer Software vom Hersteller eine Mailadresse verlangt, an die der Downloadlink geschickt wird, ist es nicht sinnvoll, dort die eigene Adresse anzugeben. Selbst eine eventuell eingerichtete Zweitadresse ist hierfür zu schade, weil definitiv keine weitere Kommunikation notwendig ist. Eine Lösung stellt z. B. die Webseite www.spam.la  dar. E-Mails, die an eine beliebige @spam.la-Adresse geschickt werden, erscheinen umgehend dort auf der Webseite. Wird also beim bereits erwähnten Softwaredownload eine Mailadresse erfragt, so kann der Nutzer beispielsweise die Adresse Software_xy@spam.la angeben. Die Webseite www.spam.la zeigt eine Liste der letzten 20 eingegangenen Mails mit Adresse und Betreffzeile, sodass ein Klick genügt, um die Nachricht und die gewünschte Information zu lesen. Diese Variante hat allerdings einen gravierenden Nachteil: Da jede Mail an spam.la auf der dortigen Webseite veröffentlicht wird, sind die eintreffenden Nachrichten für jedermann lesbar. Deshalb ist dieses System ausschließlich für Adressverifikationen im Netz gedacht. Eine ernsthafte Kommunikation ist darüber nicht sinnvoll. Um jedoch den erwähnten Downloadlink per Mail zu erhalten oder ein Anmeldepasswort für eine Webseite, ist ein Dienst wie spam.la ideal geeignet.

Dienste im Internet, die temporäre Mailadressen vergeben:

Was ist zu tun?
Spam lässt sich nur durch Prävention verhindern. Die eigene Mailadresse sollte sorgfältig eingesetzt werden. Für alle E-Mail-Kontakte, die absehbar nur von kurzer Dauer sind, sollten Zweitadressen zum Einsatz kommen, die leicht gelöscht oder geändert werden können.

10.4

Entwicklungen auf dem Browsermarkt

Nachdem US-Gerichte im Anti-Trust-Prozess gegen Microsoft festgestellt haben, dass der Softwareriese wettbewerbswidrig agiert hat, der angedrohten Firmenzerschlagung jedoch widersprachen, schien es, als würde sich nicht viel ändern auf dem Browsermarkt. Aber die Konkurrenz von Microsoft schläft nicht.

Zeitgleich zum Gerichtsverfahren hatte sich mit dem Mozilla-Projekt eine ernst zu nehmende Alternative zu Microsoft-Produkten entwickelt, die inzwischen immer mehr an Dynamik gewinnt. Über die Browsersuite Mozilla wurde bereits in den vergangenen Jahren berichtet (vgl. 25. TB, Tz. 11.3). Inzwischen ist die Browsertechnologie von Mozilla Kernstück diverser Ableger: Neben Netscape gibt es mit Firefox, K-Meleon und Beonex verschiedene Varianten des Open-Source-Browsers für alle Einsatzzwecke. Netscape setzt dabei mit seiner Lösung auf ein Komplettpaket, das den ohnehin schon vielfältigen Funktionen der Mozilla-Suite noch einen Instant Messenger sowie einige Multimediaplayer hinzufügt. Firefox als ”Nur-Browser”-Version von Mozilla versteht sich hingegen als schlanke Alternative zu Komplettpaketen und verzichtet daher ausdrücklich auf Extras, die mit dem eigentlichen Surfen nichts zu tun haben. Beonex orientiert sich nah am ursprünglichen Mozilla-Paket, enthält also auch ein Mailprogramm. Allerdings wurde hier von den Entwicklern großer Wert auf datenschutzgerechte Voreinstellungen gelegt. So werden Cookies per Default am Sitzungsende gelöscht und kein Referer übertragen. Bei der Anzeige von E-Mails im HTML-Format ignoriert Beonex alle Tags, die nicht zur Textformatierung relevant sind. Auf diese Weise schließen die Entwickler einen Großteil der Gefahren durch HTML-Mails von vornherein aus.

Nach langer Pause wird seit November 2003 auch K-Meleon weiterentwickelt. Der ebenfalls auf dem Mozilla-Kern basierende Browser verfolgt einen ähnlichen Ansatz wie Firefox: Ein schlanker, schneller Browser ohne Ballast. Allerdings verfolgt K-Meleon dieses Ziel noch konsequenter als Firefox. K-Meleon bedient sich nur in Teilen des Programmcodes der Mozilla-Entwickler. Insbesondere im Bereich der Konfiguration wird das deutlich, da K-Meleon hier ein durchdachteres Konzept verfolgt. Was die eigentliche Darstellung von Webseiten betrifft, unterscheiden sich die genannten Browser nur unwesentlich, da sie alle dieselbe Darstellungsroutine des Mozilla-Kerns verwenden, die so genannte ”Gecko”-Engine. Diese zeichnet sich vor allem durch eine hohe Konformität mit bestehenden Webstandards des W3C aus.

Mitte des Jahres 2003 verkündete Microsoft, dass der aktuelle Internet Explorer (6.0 SP1) der letzte Stand-Alone-Browser von Microsoft sei. Weiterentwicklungen würde es zwar geben, jedoch nur als Bestandteil des kommenden Betriebssystems, das derzeit unter dem Codenamen Longhorn entwickelt wird. In Anbetracht der Tatsache, dass Longhorn erst 2005 in den Handel kommen soll (Gerüchte halten 2006 für realistisch), bedeutet das einen Stillstand der Weiterentwicklung für ca. zwei Jahre. Die Hoffnung auf eine umfassende P3P-Implementierung (vgl. Tz. 8.4), eine nutzerfreundliche Konfigurationsoberfläche und vor allem ein Mehr an Sicherheit scheint also vergebens. Patches zum Stopfen akuter Sicherheitslücken müssen also reichen. Dass diese Patches bisweilen trotz bekannter Sicherheitslücken lange auf sich warten lassen, ist zusätzlich zu bedenken.

Netscape, das einen Großteil der Mozilla-Entwicklung finanziert hatte, entließ im Juli 2003 50 Entwickler und gründete die Mozilla-Foundation, aus deren Mitteln künftig die Weiterentwicklung finanziert werden soll. Befürchtungen, die Entwicklung von Mozilla käme ganz zum Erliegen, haben sich nicht bestätigt. Allerdings lässt sich eine deutliche Verschiebung der Zielsetzung feststellen: Mozilla, ursprünglich als so genannte Browsersuite geplant, wird in seine Einzelteile zerlegt. Die Strategie, ein ”Schweizer Taschenmesser” für das Web zu entwickeln (Mozilla enthält neben dem Browser noch Mail- und Newsreader, Adressbuch, Webseiteneditor und Chatprogramm), wird zugunsten von separaten Komponenten aufgegeben. So wird bereits unter dem Namen Firefox ein eigenständiger Browser entwickelt; das korrespondierende Mailprogramm nennt sich Thunderbird. Die Vorteile separater Programme liegen vor allem in der besseren Optimierbarkeit in Bezug auf die speziellen Einsatzgebiete. Zweckdienliche Oberflächen und ein modulares Erweiterungskonzept sollen die Einzelprogramme in hohem Maße anpassungsfähig machen an besondere Anforderungen der verschiedenen Nutzer. Für den Browser Firefox existieren derzeit über 130 so genannte Extensions, die für Zusatzfunktionen wie dem automatischen Löschen der Surfspuren auf dem eigenen Rechner bis hin zu eigenständigen Programmen wie einem Chatclient viel Spielraum lassen. Dank der durchdachten Schnittstelle integrieren sich die Extensions nahtlos in die jeweiligen Programme, sodass auch spezielle ”Datenschutzeditionen” von Firefox denkbar sind, in denen der Browser mit sinnvollen und wichtigen Ergänzungen ausgestattet wird, dabei aber trotzdem als einheitliches Programm erscheint und nicht als Konglomerat von Tools.

Insbesondere im Hinblick auf die bislang sehr knappen P3P-Implementierungen der Browser lässt die Entwicklung des Mozilla-Projektes hoffen. Im Rahmen des P3P-Projektes (vgl. Tz. 8.4) haben wir daher mit den Entwicklern des Tools PrivacyBird Kontakt aufgenommen, um eine Portierung auf die Mozilla-Plattform anzuregen. Dieser Schritt würde nicht nur für viele Windows-Anwender eine Lücke schließen, auch Linux-Nutzer könnten davon profitieren, da Mozilla eine plattformunabhängige Software darstellt. Insgesamt ist der Browsermarkt mehr in Bewegung, als dies noch vor einem Jahr abzusehen war. Die Vielfalt an Alternativen zum Internet Explorer hat entgegen ersten Vermutungen sogar zugenommen.

Was ist zu tun?
Angesichts der massiven Sicherheitsprobleme des Internet Explorers sollten die Konkurrenzbrowser im Auge behalten werden. In Handhabung und Leistung stehen sie dem Microsoft-Browser in nichts nach.

10.5

Wie sicher sind Passwörter tatsächlich?

Passwortverfahren als Mittel zur Authentifizierung von Benutzern sind besser als ihr Ruf. Solange die Personalisierungsprobleme beim Einsatz von Chipkarten noch nicht gelöst sind, sind Passwörter das Mittel der Wahl. Für die Sicherheit sind nicht nur die Passwortlängen entscheidend, sondern insbesondere auch die systemtechnischen Rahmenbedingungen.

Eine zentrale Sicherheitskomponente in jedem IT-System ist die korrekte Authentifizierung der Benutzer. Gelingt es z. B. einem Mitarbeiter, dem System vorzugaukeln, er sei nicht die Aushilfe Meier, sondern der Chef Müller, erhält er auch die Zugriffsrechte des Chefs zugewiesen, und in allen Protokollen werden seine (unzulässigen) Aktivitäten so vermerkt, als seien sie zulässigerweise vom Chef vorgenommen worden. Um einen solchen Rollentausch unmöglich zu machen, wird bei der Anmeldung standardmäßig zwischen dem Benutzer und dem Rechnersystem ein Geheimnis in Form eines Passwortes ausgetauscht. Dieses ist im Rechner verschlüsselt abgelegt. Das System unterstellt ”wer das Passwort von Müller kennt, der ist auch Müller” und weist die entsprechenden Rechte zu. Von Müller wird erwartet, dass er sich alle Aktivitäten, die aufgrund der Eingabe seines Passwortes vollzogen wurden, zurechnen lässt. Es muss ihm gegenüber also systemseitig gewährleistet werden, dass sich niemand ohne sein Zutun in den Besitz seines Passwortes bringen kann. Über diese Aufgabenstellung und ihre konkrete Bewältigung wird in der IT-Szene seit Jahren heftig diskutiert. Es geht dabei zwar auch um die Grundsatzfrage, ob Passwörter überhaupt sicher genug sind und ob eine ausreichende Sicherheit nicht erst durch Einsatz biometrischer Systeme zu erreichen ist. Im Wesentlichen wird aber über Passwortlängen und Änderungszyklen gestritten.

Auslöser waren im letzten Jahr Messungen darüber, in welcher Zeit man mit einem normalen PC in der Lage ist, ein Passwort durch das Ausprobieren aller Möglichkeiten zu ”knacken”. Die Ergebnisse sind in der Tat frappierend. Bei einem Zeichenvorrat, der nur aus Kleinbuchstaben besteht (26 Zeichen), braucht man theoretisch lediglich 48 Sekunden, um ein 6-stelliges Passwort zu ermitteln. Wohlgemerkt, es wird bei dieser Methode nicht eine Entschlüsselung vorgenommen, sondern es wird schlicht nur geraten und verglichen. Bei Ausnutzung des vollen Zeichenvorrates und längeren Passwörtern liegt man zwar noch im Bereich mehrerer Tage, aber die Verarbeitungsgeschwindigkeiten der PCs steigen nach wie vor so rasant, dass die ”Halbwertzeiten” in diesem Bereich immer kürzer werden.

Aus dieser Erkenntnis sind mehrere Schlüsse zu ziehen:

Auf die Datei der verschlüsselten Passwörter dürfen nur sehr wenige Administratoren Zugriff haben.

Nach spätestens fünf Fehlversuchen eines Benutzers bei der Eingabe eines Passwortes ist das Benutzerkonto zu sperren. Eine Wiedereröffnung darf nur durch die Administratoren nach vorheriger Analyse der Gründe für die Sperrung erfolgen.

Die Passwortkonventionen sind so zu gestalten, dass der gesamte Zeichenvorrat genutzt wird, dass Änderungen nach Zeitablauf erzwungen werden und dass eine Mindestlänge von 6 bis 8 Zeichen vorgeschrieben ist.

Die Reihenfolge der Vorgaben entspricht auch ihrer Gewichtung. Als eine besonders gute vertrauensbildende Maßnahme den Benutzern gegenüber ist die automatische Anzeige des Zeitpunkts der letzten Anmeldung bei einem erneuten Einloggen anzusehen. Wenn der Benutzer zu dem angegebenen Zeitpunkt nicht an seinem Arbeitsplatz war, kann er mit einiger Wahrscheinlichkeit davon ausgehen, dass ein Unbefugter sich seine Identität angeeignet hat, und die Administration benachrichtigen.

Wie eine solche Kontrollanzeige systemtechnisch zu realisieren ist, haben wir in unserem IT-Labor ausprobiert und auf unserer Homepage unter ”System-Nachrichten” beschrieben (Meldung vom 12.06.2003).

www.datenschutzzentrum.de/systemdatenschutz/meldung/sm26.htm

Was ist zu tun?
Der richtigen Passwortorganisation sollte seitens der Dienststellenleitung, der Administratoren und der Benutzer eine besondere Bedeutung beigemessen werden. Alle Zugriffsrestriktionen verpuffen, wenn ein Identitätsdiebstahl möglich ist.

10.6

Eine ganze Datenbank auf Feuerzeuggröße

Derzeit werden Disketten durch neue und mächtigere Speichermedien ersetzt, etwa durch USB-Speicherkarten. Die Sicherheitsproblematik der ”offenen Diskettenlaufwerke” geht in eine neue Runde, weil sich der Zugriff auf USB-Speichermedien nur schwer einschränken lässt.

Disketten sind immer mehr auf dem Rückzug, so baut die Firma Apple schon seit einigen Jahren keine Diskettenlaufwerke mehr in ihre Computer ein. Der Grund dafür ist, dass die Kapazität von Disketten für den Datenaustausch zwischen heutigen Anwendungen nicht mehr ausreicht. Als Ersatz dienen so genannte Memory Cards oder Memory Sticks, die sogar im laufenden Betrieb angeschlossen und entfernt werden können und eine Speicherkapazität von 16 MB bis 2 GB haben. Sie werden automatisch durch das Betriebssystem als weitere Laufwerke in die Verzeichnishierarchie eingebunden und erlauben direkte Lese- und Schreibzugriffe. Eine Treiberinstallation ist meist nicht erforderlich (Stichwort ”Plug & Play”). Dies gilt für Linux-Systeme, Windows 2000/2003 und Windows XP.

Was so bequem erscheint, ist ein großes Sicherheitsrisiko, wenn Daten unbefugt auf solche bzw. von solchen Speicherkarten kopiert werden. Dies betrifft nämlich beide Richtungen, das unbefugte Kopieren dienstlicher Datenbestände ebenso wie das Aufspielen von privaten Datenbeständen. Daher ist der Zugriff auf USB-Speichermedien auf die Administratoren zu begrenzen. Für die dafür notwendige Deaktivierung der USB-Schnittstelle zu Speicherkarten gibt es mehrere Möglichkeiten. Wenn USB-Controller überhaupt nicht gebraucht werden, sollten sie im BIOS des Rechners deaktiviert werden. Neuere Hauptplatinen verfügen über mehrere USB-Controller, von denen nur ein Teil an bestehende externe USB-Buchsen angeschlossen ist. Dennoch sind alle Controller zu deaktivieren. Der Zugriff zum BIOS ist durch ein Administratorpasswort zu schützen. Weiterhin kann man die Verbindung der USB-Anschlüsse am Gehäuse mit der Hauptplatine im Gehäuseinnern unterbrechen.

Bei Windows-Systemen kann der (bzw. können die) USB-Controller durch den Administrator auch im Gerätemanager mithilfe von Hardwareprofilen deaktiviert werden. Eleganter ist es, lediglich die Verwendung von USB-Massenspeichermedien zu unterbinden, etwa wenn die USB-Ports für Tastaturen oder Drucker aktiviert bleiben müssen. Unter Linux-Systemen ist dazu das Kernel-Modul ”usb-storage” zu deaktivieren. Für Windows-Systeme gibt es kommerzielle Produkte, die das bewerkstelligen.

Ein Anschluss von USB-Speichermedien wird anders als etwa Zugriffe auf das Diskettenlaufwerk in der Systemprotokolldatei erfasst und kann daher nicht unbemerkt vorgenommen werden. Auf jeden Fall ist also die Systemprotokolldatei auf unbefugte Nutzungen von Wechselmedien hin zu überprüfen. Auf die entsprechenden Softwareprodukte und Skripte wird auf unserer Homepage unter ”System-Nachrichten” (Meldung vom 15.04.2003) hingewiesen.

www.datenschutzzentrum.de/systemdatenschutz/meldungen/sm22.htm

Was ist zu tun?
Die Nutzung von USB-Speichermedien ist an ”normalen” Arbeitsplätzen auszuschließen. Werden sie zum Datenträgeraustausch benötigt, sind die Protokolle über ihre Nutzung genau zu überprüfen.

10.7

Warum ist der Terminal-Server-Betrieb so verpönt?

Technische Entwicklungen haben oft eine Eigendynamik, der mit Logik schwer beizukommen ist. Schwierig zu handhabende Computersysteme werden über Jahre am Leben erhalten. Sichere und wirtschaftlichere Lösungen setzen sich dagegen nur sehr schwer durch.

Seit Jahren wird von mehreren Anbietern, u. a. auch von der Firma Microsoft, eine technische Lösung für lokale Netzwerke angeboten, die nicht nur den Datenschützern, sondern wahrscheinlich auch den Rechnungsprüfern das Herz vor Vergnügen höher schlagen lässt, weil sie offenbar trotz geringerer Kosten ein Mehr an Datensicherheit gegenüber den gängigen Client-Server-Lösungen bietet.

Gleichwohl fristet die Thin-Client-Architektur, wie ein Terminal-Server-Betrieb auch genannt wird, im Gesamtgefüge der IT-Landschaft ein Schattendasein. Die Gründe hierfür sind schwer zu ermitteln. So konnte von unserer Seite nie ganz geklärt werden, warum der landesweite IKOTECH III-Standard die Benutzung von aufwändig zu administrierenden PC-Arbeitsplätzen nach dem Client-Server-Konzept zwingend vorschreibt.

Diese einseitige Ausrichtung der Rechnerarchitektur wird allerdings in jüngster Zeit mehr und mehr aufgebrochen. Dataport bietet zwei Lösungen auf der Basis von Terminal-Servern an, wovon eine allerdings datenschutzrechtlich und sicherheitstechnisch problematisch ist (vgl. Tz. 6.7.3). Eine andere Lösung ist bei mehreren Kommunen im Einsatz und wird zurzeit bei der Stadt Bad Schwartau einem Audit unterzogen. Auch bundesweit entscheiden sich immer mehr Behörden für Terminal-Server-Systeme.

Eine Anfang 2004 veröffentlichte Analyse eines Marktforschungsunternehmens bei sechs großen Organisationen enthält nahezu nur positive Aussagen. Die Finanzverwaltung im Land Nordrhein-Westfalen hat z. B. insgesamt 17.000 Arbeitsplätze auf diese Weise eingerichtet und berichtet über eine wesentliche Entlastung der Administratoren, ihre organisatorische Konzentration auf wenige Dienststellen, eine höhere Flexibilität und einen besseren Know-how-Austausch. Alle befragten Firmen und Behörden äußerten sich positiv hinsichtlich der gestiegenen Datensicherheit. Ohne Disketten- oder andere Speicherlaufwerke könnten die Thin-Clients nicht für das Herunterladen sensibler Daten missbraucht werden. Zudem ermögliche es die serverbasierte Architektur, die Zugriffe auf Informationen besser zu überwachen und zu dokumentieren und Verfahren zu implementieren, mit denen sich Back-ups erstellen und Datensicherheitsprozesse in Gang setzen lassen. Auf diese Weise ließen sich auch die den Datenschutz betreffenden gesetzlichen Vorgaben wesentlich einfacher erfüllen. Als wesentliches Negativum wurde lediglich die Tatsache bezeichnet, dass IT-Spezialisten, die sich mit der neuen Architektur auskennen, spärlich gesät und deshalb relativ teuer seien.

Diese Gegebenheiten haben wir zum Anlass genommen, in unserem IT-Labor ein praxisnahes Terminal-Server-System aufzubauen und es hinsichtlich des erzielbaren Sicherheitsgewinns systematisch zu analysieren. Hierin fließen auch die Erkenntnisse aus dem oben angeführten Datenschutz-Behördenaudit ein. Wenn die Arbeiten im Laufe des Jahres 2004 abgeschlossen sind, beabsichtigen wir, die Ergebnisse in einem backUP-Magazin zusammenzufassen und Konfigurationsvorschläge zu machen.

Was ist zu tun?
Spätestens bei der anstehenden Fortschreibung des IKOTECH III-Standards sollte das Land sich mit dem Nutzen der Terminal-Server-Architektur auseinander setzen. Es sollte ermittelt werden, warum eine Lösung, die dem Land Nordrhein-Westfalen offensichtlich Vorteile bringt, z. B. für die schleswig-holsteinische Steuerverwaltung, die Polizei und die Justizverwaltung weniger geeignet ist.

10.8

Kooperation mit CASES zum Selbstdatenschutz

Mit der International School of New Media (ISNM) Lübeck haben wir eine Reihe von Kooperationen vereinbart. Ziel der Zusammenarbeit wird die deutsche Vertretung des europäischen CASES-Projekts sein.

Die ”Cyberworld Awareness and Security Enhancing Structure” (CASES) stellt ein europäisches Netzwerk zur Schärfung des Sicherheitsbewusstseins der Nutzer dar. Dabei sollen in Datenbanken Informationen über Sicherheitsrisiken und -probleme zusammengefasst und Anwendern Tipps und Hinweise gegeben werden, wie bestimmte Risiken minimiert werden können. Das CASES-Netzwerk richtet sich an Privatnutzer sowie kleine und mittelständische Unternehmen, die in der Regel keine eigenen Sicherheitsexperten beschäftigen. Die einzelnen europäischen CASES-Vertretungen (auch Nodes genannt, deutsch: Knoten) besitzen dabei jeweils spezifische Schwerpunkte, woraus sich durch Vernetzung der verschiedenen nationalen Knoten entsprechende Synergieeffekte ergeben. Der CASES-Node Deutschland wird, nicht zuletzt durch unsere Kompetenz, einen besonderen Schwerpunkt auf Privacy und Selbstdatenschutz legen. In der Anfangsphase wird sich CASES Deutschland vor allem auf Jugendliche konzentrieren und diese Zielgruppe sensibilisieren. Insofern haben wir mit der Erstellung einer Schul-CD (vgl. 25. TB, Tz. 9.3) bereits Erfahrungen gesammelt, die in die Zusammenarbeit mit CASES einfließen können.

Zusammen mit der ISNM Lübeck wird neben CASES Deutschland auch das Cyber Prevention and Awareness Laboratory (CyPAL) entstehen. Dort werden ins CASES-Netzwerk einzuspeisende Informationen erarbeitet und verifiziert. Auf diese Weise entsteht mit CASES ein umfassender Informationsdienst und mit CyPAL eine komplementäre Forschungseinrichtung. Auch hier können wir mit unserem IT-Labor bereits umfassende Erfahrungen vorweisen.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel