Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

10       Aus dem IT-Labor

10.1       Kreditkarten im Internet  – Risiko ohne Grenzen?

Online-Shopping ist "in". Immer mehr Internetnutzer entdecken die Vorzüge von Warenbestellungen per Internet. Dabei kommt neben der Überweisung vor allem die Kreditkarte als Zahlungsmittel zum Einsatz. Wie im realen Leben lässt sich die Gefahr eines möglichen Missbrauchs der Kreditkartendaten nicht vollständig abwenden, durch Beachtung einfacher Regeln aber vermindern.

Wer bei einem Online-Händler mit einer Kreditkarte zahlen möchte, muss seinen Namen angeben, die Kartennummer, deren Ablaufdatum sowie die dreistellige Kartenprüfnummer. Mit diesen Informationen kann der Händler die Abbuchung des Kaufbetrages veranlassen. Allerdings kann er mit diesen Daten – zumindest theoretisch – jederzeit Abbuchungen in beliebiger Höhe vornehmen. Eine zusätzliche Authentifizierung, etwa durch eine Unterschrift, findet nicht statt.

Bankenvertreter bestätigen, dass Kundinnen und Kunden generell keine Möglichkeit haben, sich gegen derartigen Missbrauch zu schützen, und raten, Kreditkartendaten nur vertrauenswürdigen Online-Händlern zu übermitteln. Dies ist allerdings leichter gesagt als getan. Vertrauenswürdigkeit ist im Internet schwer zu vermitteln und leicht vorzutäuschen. Das Risiko unrechtmäßiger Abbuchungen ist den Kreditkartenunternehmen bewusst. Erklärt der Kunde an Eides statt, dass er eine geleistete Zahlung nicht autorisiert hat, und kann der Händler diese Autorisierung nicht belegen, so erhält der Kunde das Geld mit der nächsten Abrechnung zurück, so die Deutsche Bank. Um Ärger mit der Kreditkarte im Internet vorzubeugen, ergeben sich folgende Grundsätze:

• Online-Shopping per Kreditkarte niemals in einem Internetcafé abwickeln. Die Rechner dort sind nicht vertrauenswürdig: Tastatureingaben können leicht mitgeschnitten werden, sodass die Kreditkartendaten in fremde Hände gelangen können.
• Auf die Zahlung per Kreditkarte sollte im Internet so weit wie möglich verzichtet werden.
• Wird per Karte gezahlt, sollten unbedingt Ausdrucke der Transaktion angefertigt werden, eventuell versehen mit ergänzenden Kommentaren. So kann später besser belegt werden, wo welche Käufe getätigt worden sind und wo nicht.
• Wird eine Online-Zahlung durchgeführt, sollte dies nur über eine SSL-gesicherte Verbindung geschehen, zu erkennen an einer Webadresse beginnend mit "https://...".

Allerdings ist das Risiko nicht auf die Online-Welt beschränkt. Wer im Restaurant mit Kreditkarte zahlt, gibt die Karte in der Regel kurze Zeit aus der Hand. Kreditkarten- und Kartenprüfnummer können auch hier entwendet, d. h. abgeschrieben werden. Kreditkarten sind konzeptionell nur sehr schwach gegen Missbrauch geschützt.

10.2       Per E-Mail  zu fremden Bonusmeilen

Bei Anmeldeverfahren von Online-Diensten sollte auf die korrekte Schreibweise der eigenen Mailadresse geachtet werden. Im schlimmsten Fall kann ein fremder Nutzer auf die Kosten eines anderen diesen Dienst nutzen. Anmeldeverfahren sollten über eine Bestätigungsmailfunktion verfügen.

Im Juli 2005 häuften sich in einem elektronischen Postfach des ULD Bestätigungsmails für die Anmeldung an einem Bonusmeilenprogramm einer Fluggesellschaft. Zwei Dinge waren verwunderlich: Zum einen hatte sich kein Mitarbeiter bei einem solchen Programm angemeldet, zum anderen gingen die Mails allesamt an die Adresse "datenschutz@datenschutz.de". Die Domain www.datenschutz.de inklusive der dazugehörigen Mailadressen wird zwar vom ULD verwaltet, diese Adresse ist jedoch keinem realen Mailkonto zugeordnet. Nachrichten an solche unbekannten Adressen landen in einem separaten, übergreifenden Posteingang, so auch die Anmeldebestätigungen der Fluggesellschaft.

Eine falsch angegebene Mailadresse ist nicht ungewöhnlich, eine derartige Häufung mit immer derselben Adresse hingegen schon. Auf der Webseite der Fluggesellschaft sahen wir uns die Anmeldeseite für Teilnehmer des Bonusprogramms an. Hier muss man sich mit Nutzernamen und Passwort authentifizieren. Es existiert eine Schaltfläche für vergessene Passwörter. Deren Betätigung generiert ein neues Passwort, das automatisch an die hinterlegte Mailadresse gesendet wird, in diesem Falle an uns. Innerhalb weniger Minuten erhielten wir so Zugang zum Bonusmeilenkonto. Eine Rücksprache mit dem Datenschutzbeauftragten der Fluggesellschaft ergab, dass die Konten alle von einer einzigen Person angelegt worden waren, vermutlich mit der Absicht der Übervorteilung.

Der Fall zeigt: Bei der Anmeldung bei Internetdiensten sollte sorgfältig auf die Schreibweise der eigenen Mailadresse geachtet werden. Ein Tippfehler führt im günstigsten Fall dazu, dass Mails des Seitenbetreibers nicht zugestellt werden und im Nirvana landen. Im schlimmsten Fall jedoch werden die Mails an fremde Personen ausgeliefert. Sind dann keine weiteren Sicherungsmaßnahmen vorgesehen, steht dem Nutzer der falschen Adresse mitunter der gesamte Dienst offen.

Das Problem lässt sich relativ leicht dadurch lösen, dass bei der Anmeldung eine Bestätigungsmail generiert wird. Diese muss der Nutzer beantworten, bevor sein Account freigeschaltet wird. Mit diesem Verfahren wird sichergestellt, dass der Anzumeldende wirklich im Besitz der eingegebenen Mailadresse ist. So werden Nutzer und Diensteanbieter vor Tippfehlern geschützt. Wer übrigens unbedingt eine nicht existierende Mailadresse angeben möchte, sollte eine Adresse der Domain example.com verwenden. Diese ist Testzwecken vorbehalten und kann nicht registriert werden. Mailadressen wie z. B. niemand@example.com landen zuverlässig im digitalen Nirgendwo und nicht im Postfach unbedarfter E-Mail-Nutzer.

10.3       Erste Lösungen für anonymes Logging  umgesetzt

Das ULD betreute zusammen mit der Universität Regensburg eine wissenschaftliche Arbeit, welche die Entwicklung eines Logfile-Anonymisierers zum Ziel hatte. Dieser wie auch andere Produkte zur Anonymisierung von Logfiles bedürfen der kritischen Betrachtung.

Die Problematik des anonymen Loggings beschäftigt das ULD weiterhin (27. TB, Tz. 10.9). Logfiles können als eine klassische Form der "Vorratsdatenspeicherung" angesehen werden. Es handelt sich um von einem Programm erstellte Dateien, in der Datenverarbeitungsereignisse dokumentiert werden. Es kommt grundsätzlich nicht darauf an, mit welchem Dienst (z. B. Webserver, Firewall, Proxy) ein Logfile erstellt wird und welche Art von sensiblen Daten es zu anonymisieren gilt. Vorgegeben ist nur, dass die Logfiles im Textformat geschrieben werden. Im Interesse der Datensparsamkeit ist ein Tool wünschenswert, welches durch Eingabe eines beliebigen Logformates und dessen zu anonymisierenden Daten auf jede Art Logfile anwendbar ist.

Grundsätzlich sind zwei Zeitpunkte der Anonymisierung möglich: Das Anonymisieren eines bereits geschriebenen Logfiles sowie die Anonymisierung schon während des Schreibvorgangs. Letzteres ist vorzuziehen, da hier sensible Daten gar nicht erst in Klarschrift abgelegt werden. Als Anforderung an den Anonymisierer selbst soll grundsätzlich gelten, dass dieser die personenbezogenen Merkmale zu anonymisieren hat, ohne dabei die Nutzung der Logdaten für die üblichen Analysetools unnötig zu erschweren oder sogar zu verhindern. Was hilft eine Anonymisierung der Logdaten, wenn sie später keine Aussagekraft mehr besitzen?

Diese Gratwanderung zwischen vollständiger Anonymisierung und Sicherung umfangreicher Auswertbarkeit versuchen die am Markt befindlichen Tools auf unterschiedliche Weise zu meistern. Anonlog z. B. eignet sich für das nachträgliche Anonymisieren von Webserver-Logfiles, wobei sensible Daten durch Wörterbucheinträge ersetzt werden. Beim Lundin Firewall Anonymisierer ist eine solche Ersetzung auch in Echtzeit möglich. Das Problem bei der Ersetzungsmethode ist die Tabelle, die jedem sensiblen Datum einen Wörterbucheintrag zuordnet. Solange dieser nicht gelöscht oder überschrieben wird, ist das "anonymisierte" Logfile nur schwach pseudonymisiert. Wird er zu schnell überschrieben, ist eine Verkettbarbeit der Logfile-Einträge nur noch beschränkt möglich.

Das Tool Pseudo/CoRe verwendet ein kryptografisches Verfahren, wobei auch an eine Reidentifikation gedacht ist, um eventuelle Angreifer eines Systems lokalisieren zu können. Pseudo/Core versucht den Spagat zwischen Anonymisierung und Praxistauglichkeit, was durch Nutzung eines ausgeklügelten Regelsystems unter Integration von organisatorischen Maßnahmen gut gelungen ist. Beispielsweise ist die Vorgabe möglich, zur Reidentifizierung von Datensätzen den Datenschutzbeauftragten mit heranziehen zu müssen. Das Tool lässt sich auf verschiedene Logformate in Unix-Systemen anwenden und anonymisiert sowohl Daten in Echtzeit als auch bereits bestehende Dateien. Insgesamt ist Pseudo/Core aus Datenschutzsicht durchaus zu empfehlen. Obwohl es bereits 2003 vorgestellt wurde, befindet sich das Tool aber noch immer in der Prototypphase.

Um eine datenschutzgerechte sowie praktikable Lösung des anonymen Loggings vorstellen zu können, hat die Universität Regensburg zusammen mit dem ULD eine Diplomarbeit mit dem Thema "Konzeption und Implementierung eines universellen Logfile-Anonymisierers mit intuitiver Bedienoberfläche" betreut. Das Ergebnis ist ein plattformunabhängiges und auf verschiedene Logformate anwendbares Tool, das sowohl nachträglich als auch "on the fly" Logdaten anonymisieren kann.

Bei ersten Tests erwies sich der universelle Logfile-Anonymisierer durchaus als praxistauglich. Die leicht zu bedienenden Funktionen des Tools sowie seine universellen Einsatzmöglichkeiten heben es in eine Favoritenrolle. Allerdings haben noch keine ausführlichen Langzeittests stattgefunden, um endgültige Aussagen über die Leistungsfähigkeit des Tools treffen zu können. Der Anonymisierer ist als Open Source entwickelt worden, sodass eine Verbesserung oder Erweiterung des Tools problemlos möglich ist.

10.4       Festplattenverschlüsselung  bei tragbaren Rechnern

Es ist eine Binsenweisheit der Informationsgesellschaft, dass die Daten und nicht die Menschen laufen sollen. Ob Bewegungsarmut für die Menschen gesund ist, steht auf einem anderen Blatt. Fest steht, dass die Daten der Menschen nicht nackt und ungeschützt durch die Gegend wandern sollten. Die Folgen können für Betroffene und Verantwortliche fatal sein.

Nach Presseberichten sind zwischen 1996 bis 2002 in britischen Ministerien über 1300 Laptops verloren gegangen. Spitzenreiter war das britische Verteidigungsministerium mit 594 nicht wieder zu findenden tragbaren Rechnern. Vergleichbare Zahlen aus Schleswig-Holstein über den Verlust an Laptops sind uns nicht bekannt. Sicher ist aber, dass die Verbreitung mobiler Endgeräte insbesondere bei Führungskräften und Projektleitern in der öffentlichen Verwaltung zunimmt. Insofern folgt die öffentliche Verwaltung der Entwicklung in der Wirtschaft.

Über den Schutzbedarf personenbezogener Daten auf mobilen Geräten sollte kein Zweifel bestehen. Im Unterschied zu fest stehenden Rechnern, die in abschließbaren Räumen eingesetzt werden, sind mobile Rechner besonderen Risiken ausgesetzt, gegen die angemessene Schutzmaßnahmen zu ergreifen sind. Eine unberechtigte Einsichtnahme von auf tragbaren Rechnern befindlichen personenbezogenen Daten ist durch eine Verschlüsselung der gespeicherten Datenbestände zu verhindern. Das Landesdatenschutzgesetz schreibt dies für den öffentlichen Sektor ausdrücklich vor. Für den Privatbereich gilt Entsprechendes nach dem Bundesdatenschutzgesetz als Regel zur Zugriffskontrolle.

In den Konzepten auf kommunaler (KITS) und Landesebene (IKOTECH III) sind Programme zur kompletten Verschlüsselung von Festplatten standardmäßig vorgesehen bzw. vorgeschrieben. Wir haben in unserem IT-Labor eine Vielzahl von Programmen zur Festplattenverschlüsselung getestet. Einige Programme erlauben nur das Einrichten so genannter "Container" oder Partitionen, in denen Daten sicher verschlüsselt gespeichert werden können. Diese Container oder Laufwerke werden durch ein Programm oder einen im Hintergrund laufenden Dienst ver- und entschlüsselt. Im Labortest zeigten diese Programme jedoch einige Schwächen. So können z. B. außerhalb der explizit verschlüsselten Bereiche in temporären Dateien schützenswerte Daten abgelegt sein.

Wir empfehlen daher die Nutzung von Programmen, die die komplette Festplatte verschlüsseln. Nur so wird wirklich gewährleistet, dass niemand, der unberechtigten Zugriff auf den tragbaren Rechner erhält, auf sensible Daten zugreifen kann. Beim Starten muss dann in der Regel ein Passwort eingegeben werden, um die Festplatte freizuschalten ("Sicherheit durch Wissen"). Bei einem erhöhten Sicherheitsbedarf sollte die Autorisierung zudem über eine Smartcard erfolgen ("Sicherheit durch Besitz und Wissen").

10.5       Patchmanagement

Sicherheitslecks in Betriebssystemen und Programmen werden fast täglich entdeckt. Um diese zu beheben, müssen Updates eingespielt werden. Während dies bei kleinen Netzwerken noch von Hand erledigt werden kann, müssen bei größeren Netzwerken zentrale Lösungen für ein effizientes Patchmanagement gefunden werden.

Ob Anwendungssoftware oder Betriebssystem, das Prinzip der "Bananensoftware" ist kaum noch aufzuhalten: "Die Software reift beim Kunden." Der Kunde ist auf eine funktionstüchtige und sichere Software angewiesen, aber wirklich verlassen kann er sich nur darauf, dass die nächsten Patches vor der Tür stehen. So kritisch diese Entwicklung auch ist, eine Trendwende hin zu einer qualitätsorientierten Softwareentwicklung ist nicht in Sicht. Die Folge ist, dass die IT-Verantwortlichen sehr viel Zeit auf die Beseitigung von Fehlern investieren müssen, was neudeutsch "Patchmanagement" genannt wird.

In unserem IT-Labor haben wir für Betriebssysteme der Windows-Familie einige Softwarelösungen getestet, die (halb-)automatisiert die Inventur, Installation und Kontrolle von Fehlerbehebungen auf Rechnern durchführen. So bietet z. B. Microsoft kostenfrei verschiedene Lösungen an. Wir haben u. a. das Produkt WSUS – Windows Server Update Services – intensiv geprüft. Mithilfe dieser serverbasierten Lösung kann der Installationsstatus der Patches für eine große Anzahl von Rechnern mit Microsoft-Produkten einfach und übersichtlich eingerichtet werden. Eine zeitgesteuerte, in Gruppen aufteilbare Installation explizit ausgewählter Patches ist nach Freigabe des Administrators möglich. Verschiedene weitere Komfortfunktionen (wie z. B. ein umfangreiches Berichtswesen) ermöglichen es, mit geringem personellem Aufwand eine große Anzahl an Rechnern zu verwalten.

In gemischten Netzwerken, in denen auch Software und Betriebssysteme anderer Hersteller eingesetzt werden, sollten jedoch andere Lösungen in Betracht gezogen werden, um ein einheitliches und zentrales Patchmanagement zu gewährleisten.

10.6       WLAN: Sicher per "default"?

Drahtlose Netzwerke lassen sich ohne viel Aufwand installieren. Computer und Laptops sind innerhalb von Minuten an das Netzwerk angebunden. Doch eine Sicherheit bietende Verschlüsselung ist bei den meisten Geräten standardmäßig ausgeschaltet, oder der gewählte Standard ist bereits veraltet.

Drahtlose Netzwerke (Wireless Local Area Networks, kurz WLAN) haben gegenüber kabelgebundenen Netzen einen gravierenden Nachteil: Die Zugriffsmöglichkeiten auf diese Netze enden nicht am Kupferdraht der Leitung und an den Wänden des Gebäudes. Auf die Wellen eines örtlichen Funknetzes kann auch außerhalb der Gebäude zugegriffen werden. Um diesen Nachteil auszugleichen, bieten die Hersteller ihre WLAN-Systeme mit kryptografischen Algorithmen zur Verschlüsselung an, die eine aus Sicht der Hersteller mit herkömmlichen drahtgebundenen Netzen "vergleichbare" Sicherheit gewährleisten sollen. Aus diesem Grund haben die Hersteller das derzeit noch weit verbreitete Verschlüsselungsverfahren auch WEP – wired equivalent privacy – getauft.

WEP gilt jedoch nach dem aktuellen Stand der Sicherheitstechnik als unsicher (27. TB, Tz. 10.5): Wir haben in verschiedenen, im IT-Labor nachgestellten Szenarien innerhalb von Minuten die unterschiedlichen WEP-Verschlüsselungsalgorithmen mit im Internet frei erhältlichen und kostenlosen Programmen brechen können. So genannte Sicherheitsmechanismen, die auch in der Fachpresse immer wieder genannt werden, wie das Filtern auf bekannte, erlaubte Geräte (MAC-Filterung), das "Verstecken" des Accesspoint (SSID-Hiding) oder die Reduzierung der Sendeleistung, liefern lediglich minimale Sicherheitsgewinne. Sie verlängern die Gesamtzeit bis zum erfolgreichen Eindringen in ein WLAN nur um wenige Minuten.

Die Unsicherheit von WEP hat viele namhafte Hersteller dazu bewogen, eine Weiterentwicklung von WEP als neuen Standard zu deklarieren, den so genannten WiFi Protected Access (WPA) Standard. WPA ist sicherheitstechnisch ein Schritt in die richtige Richtung und gilt bei ausreichender Schlüssellänge als Mindeststandard für den Heimbereich.

Ein deutlich höheres Sicherheitsniveau bieten die Nachfolgestandards WPA2 und IEEE802.11i (27. TB, Tz. 10.5). Diese liefern nach dem derzeitigen Kenntnisstand ausreichende Schutzmechanismen für WLAN zur Verarbeitung von personenbezogenen Daten mit niedrigem bis mittlerem Schutzbedarf. Weiterhin gilt jedoch: Daten mit hohem Schutzbedarf dürfen in einem WLAN nicht ohne zusätzliche Sicherheitsmaßnahmen wie einer Verschlüsselung in einem Virtuellen Privaten Netzwerk (VPN) verarbeitet werden.

10.7       Sperren von Schnittstellen  und Laufwerken

Über externe Schnittstellen und offene Laufwerke können Daten in IT-Netzwerke eingeschleust oder ausgelesen werden. Die Nutzung solcher Schwachstellen muss nicht auf böser Absicht beruhen. Den eingeschleusten Viren und Trojanern ist es aber egal, warum die Türen zu den Rechnern offen stehen. Entscheidend ist, dass der durch Viren oder Trojaner ausgelöste Schaden erheblich sein kann.

Die meisten IT-Verantwortlichen sichern ihre Netzwerke mit einem hohen Sach- und Personalaufwand gegen Angriffe von außen ab. Viele IT-Infrastrukturen sehen sich weiterhin einer großen Gefahr von innen ausgesetzt: Offene Schnittstellen wie USB und Firewire bieten einfach zu nutzende Anschlussmöglichkeiten für jede Art von Peripheriegeräten wie Tastaturen, Mäuse und Drucker, aber auch Massenspeicher wie USB-Sticks und externe Festplatten. Benutzern eröffnet sich damit die Möglichkeit, in großem Stil personenbezogene Daten, aber auch Betriebs- und Geschäftsgeheimnisse auf portable Geräte zu kopieren.

Man muss hierbei nicht immer gleich Datendiebstahl unterstellen. Die Daten mögen in der guten Absicht vom Dienstrechner kopiert werden, "um zu Hause an dem Dokument weiterzuarbeiten". Gleich ob in der Verwaltung oder in der Wirtschaft: Bei der Datensicherheit genügen gute Absichten nicht. Personenbezogene Daten vom Arbeitsplatz gehören ebenso wie Betriebs- und Geschäftsgeheimnisse nicht in private Datenspeicher, Rechner oder Netzwerke.

Auch der umgekehrte Weg, dass Daten von einem externen Gerät in das interne Netz eingespielt werden, ist für die internen Netzwerke eine erhebliche Gefahr: Eingeschleppte schadhafte Dateien können bei einer schwachen Sicherung des internen Netzes gewaltigen Schaden anrichten.

Abhilfe ist auf vielen Wegen möglich. Der einfachste ist das Abschalten der externen Schnittstellen. Häufig steht dieser Lösung jedoch entgegen, dass die Schnittstellen in definierten Fällen für den Datenaustausch benötigt werden. Spezielle Software kann zwischen autorisierten und nicht autorisierten Geräten genau unterscheiden. Wir haben kommerzielle Softwareprodukte verglichen und Möglichkeiten getestet, wie die Schnittstellen kostengünstig unter Kontrolle zu bringen sind.

Unser Fazit ist, dass die Administratoren mit geringem finanziellem Aufwand und einfachen Methoden die Nutzung externer Schnittstellen wie USB und Firewire so ausgestalten können, dass eine nicht zugelassene Nutzung ausgeschlossen wird. Viele Verwaltungen und Unternehmen in Schleswig-Holstein setzen bereits solche Lösungen ein. Zwar können wir – auch wegen der Einsatzrahmenbedingungen – keine Produktempfehlungen aussprechen, doch beraten wir gerne. In Prüfungen werden wir verstärkt darauf achten und drängen, dass keine solchen Sicherheitslecks bestehen.

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel