10       Aus dem IT-Labor

10.1       Der mobile Blackberry

Die mobile E-Mail-Lösung „Blackberry“ wird in der Verwaltung verstärkt eingesetzt. Der Hersteller stellt eine umfangreiche Dokumentation bereit und hat ein unabhängiges Gutachten vorgelegt. Aus Sicht des Datenschutzes und der Datensicherheit sind generelle Vorbehalte gegen diese Lösung nicht mehr gerechtfertigt. Gleichzeitig ist klar: Jede Organisation, die diese Lösung ein­setzt, muss eigene zusätzliche Sicherheitsmaßnahmen treffen.

Research In Motion (RIM) – eine amerikanische Firma mit Niederlassungen in Europa und Asien – dominiert den Markt für mobile E-Mail- und Groupware-Lösungen mit seinem Produkt Blackberry. Blackberry ermöglicht das proaktive Schieben von E-Mails vom Firmen-E-Mail-Server auf das Blackberry-Endgerät per Mobilfunk (Push-Mail). Das häufig teure regelmäßige Abfragen (Polling) des E‑Mail-Accounts entfällt. Darüber hinaus können nicht nur E-Mails, sondern z. B. Informationen aus organisationsinternen Systemen – von Kalenderdaten bis zu Datenbankauszügen – auf das mobile Gerät übertragen werden.

So lange wie RIM mit seinen Blackberry-Produkten am Markt ist, gibt es eine immer neue Kritik bezüglich Datensicherheit und Datenschutz. Dies führte nicht selten zu großflächigen Verboten in Landesverwaltungen oder zum Ausstieg großer Firmenkunden. Das ULD wurde häufig um eine Einschätzung gebeten. Wir meinen weiterhin, dass weder ein generelles Verbot des Blackberry-Einsatzes noch eine generelle Freigabe angemessen sind. In der für den Einsatz in großen Unternehmen oder öffentlichen Verwaltungen bereitgestellten Lösung „Blackberry Enterprise Solution“ wird im internen Netz der jeweiligen Organisation ein Server aufgestellt. Dieser Blackberry Enterprise Server wird so konfiguriert, dass er sich intern mit dem bestehenden Mailserver – z. B. Lotus Notes oder Microsoft Exchange – verbindet. Er leitet neu eintreffende Mails über ein proprietäres, in seinen Grundzügen beschriebenes Protokoll an eine zentrale Vermittlungsstelle weiter. Die Nachrichten werden dabei gemäß RIMs Aussagen so verschlüsselt, dass nur das Zielgerät des Empfängers der Nachricht diese entschlüsseln kann.

Blackberry bündelt nach eigenen Aussagen die Kommunikation zwischen den mobilen Geräte und den Endpunkten in der Infrastruktur des Kunden aus rein wirtschaftlichen Gründen auf wenige Lokationen, die sich derzeit alle außerhalb Deutschlands befinden. Durch diesen „Flaschenhals“ werden sämtliche Nachrich­ten geleitet. Ohne zusätzliche Maßnahmen wäre es RIM möglich, sämtliche Verkehrs- und Inhaltsdaten der Blackberry-Kommunikation einzusehen. Deshalb wird die Kommunikation zwischen dem Blackberry Enterprise Server und dem Endgerät des Nutzers verschlüsselt. RIM fungiert – so die Eigendarstellung – nur als Vermittler und kann keine Kenntnis vom Inhalt der Kommunikation nehmen.

Im November 2008 hat das Fraunhofer-Institut für sichere Informationstechnologie (Fraunhofer-SIT) einen Bericht veröffentlicht, in dem ein Großteil der möglichen Sicherheits- und Datenschutzprobleme beim Blackberry-Einsatz behandelt wird. Das Fraunhofer SIT bestätigt, dass keine verborgenen Funktionen oder Hintertüren gefunden wurden und weder RIM noch Dritte einen Zugang zu den Daten inner­halb der Architektur haben.

Das Restrisiko eines vollständigen Verlusts der Vertraulichkeit und Integrität der für die Blackberry-Lösung verfügbaren E-Mail- und Kalenderdaten besteht, wenn z. B. im Blackberry Enterprise Server eine Sicherheitslücke ausgenutzt werden kann. Dieses Restrisiko muss die verantwortliche Organisationsleitung vor dem Einsatz bewerten. Die Bewertung sollte schriftlich festgehalten werden.

Aus dem Bericht des Fraunhofer-Instituts und der von RIM bereitgestellten Dokumentation ergibt sich für die Blackberry-nutzenden Organisationen eine Liste von Sicherheitsmaßnahmen, die als Mindestvoraussetzung für einen ordnungs­gemäßen Einsatz anzusehen sind. Dazu gehören folgende Punkte:

  • Der Blackberry Enterprise Server und einige weitere Komponenten müssen durch eine Firewall von den anderen IT-Systemen der Organisation getrennt werden,
  • der Verschlüsselungsalgorithmus muss geeignet gewählt werden (Advanced Encryption Standard, AES),
  • spezifische Einstellungen zur Schlüsselverwaltung und -hinterlegung müssen getroffen werden und
  • die eingesetzten Komponenten müssen hinreichend aktuell sein (Blackberry Firmware 4.3, Enterprise Server 4.1.6).

Detaillierte Konfigurationshinweise und weitere Maßnahmen finden sich in den unten angegebenen weiterführenden Dokumenten. Das ULD bietet Daten verar­beitenden Stellen in Schleswig-Holstein an, die korrekte Konfiguration der eingesetzten Blackberry-Lösung zu überprüfen. Sollten zusätzliche Sicherheits­maßnahmen notwendig sein, so kann das ULD bei der Konzeption und Umsetzung dieser Maßnahmen beratend und prüfend Hilfestellung geben.

Weiterführende Informationen:

  • BlackBerry Enterprise Solution for Microsoft Exchange, Security Analysis, Fraunhofer SIT:

     http://testlab.sit.fraunhofer.de/downloads/certificates/Certification_Report-06-104302.pdf

  • Technical Note – Placing the BlackBerry Enterprise Solution in a Segmented Network – Version 4.0 and 4.1:

     http://na.blackberry.com/eng/deliverables/1460/Placing_the_BlackBerry_Enterprise_Solution_in_a_Segmented_Network.pdf

Was ist zu tun?
Organisationen, die eine Blackberry-Lösung einsetzen bzw. einsetzen wollen, müssen die angemessene und wirksame Umsetzung der empfohlenen Sicher­heitsmaßnahmen überprüfen und sicherstellen. Ein Einsatz von Blackberry ohne diese Sicherheitsmaßnahmen wird künftig bei Prüfungen des ULD beanstandet werden.

 

10.2       Virtualisierung

Virtualisieren hilft beim Konsolidieren. Durch Virtualisierung ergeben sich für Datensicherheit und Datenschutz neue Möglichkeiten, um gesetzliche Anforderungen wirtschaftlich und zugleich elegant umzusetzen. Das KomFIT hat hierzu ein richtungsweisendes Grundlagenpapier veröffentlicht.

Seit einigen Jahren ist Virtualisierung ein Thema in der IT-Verwaltung. Da einige Hersteller kostenlose Produkte anbieten, hat so gut wie jeder Administrator schon mit VMware oder Microsoft Betriebssysteme virtualisiert und z. B. in Test- und Freigabeszenarien erfolgreich eingesetzt. Bereits im letzten Jahr hatte das ULD die Vorteile von Virtualisierung im Bereich Betriebssysteme und Anwendungen beleuchtet (30. TB, Tz. 10.5). Doch inwieweit lässt sich Anwendungsvirtualisie­rung im Alltag nutzen?

Dataport hat im Auftrag von KomFIT und unter Beteiligung verschiedener Kom­munalverbände, dem Ministerium für Bildung und Frauen sowie dem ULD eine Studie erstellt, die den Bereich Anwendungsvirtualisierung mit Schwerpunkt auf die tatsächliche Anwendbarkeit auf Fachverfahren aus dem Bereich der kom­munalen Verwaltung behandelt. Dabei werden vor allem die unterschiedlichen Ansätze der Hersteller untersucht und festgestellt, ob die zum Test verwendeten Fachverfahren mit einer virtualisierten Umgebung arbeiten können. Untersucht wurden die aktuellen Produkte der Hersteller Citrix, Microsoft, Thinstall und Landesk. Der Virtualisierungspionier VMware wurde nicht weiter betrachtet, da dieser aktuell nur Produkte listet, um ganze Maschinen und Betriebssysteme zu virtualisieren.

Für die Tests wurden das Fachverfahren OK.EWO mit diversen Add-ons sowie Microsoft Word 2003 ausgewählt. Die verschiedenen Hersteller mussten nach­weisen, wie viele Schritte nötig sind, um die beiden Produkte zu virtualisieren. Als Nächstes wurde getestet, wie das fertige Paket auf weitere Clients verteilt werden kann, um eine zentrale Softwareverteilung zu gewährleisten. Dabei wurde ebenfalls untersucht, wie sich die virtualisierten Anwendungen im Zusammenhang mit Sicherheitsupdates verhalten und inwieweit die Pakete zu verschiedenen Betriebs­systemen und Patchständen kompatibel sind.

Als Fazit legt das fast hundert Seiten starke Konzept keinen Spitzenkandidaten fest. Je nach Infrastruktur und Anwendungsbereich kann sich der Einsatz jedoch lohnen. Durch bessere Datentrennung und Kapselung sowie eine weitestgehende Standardisierung der Pakete lässt sich nicht nur Arbeit sparen, sondern auch die Datensicherheit und damit auch der Datenschutz deutlich erhöhen. Das Konzept Anwendungsvirtualisierung bietet einen guten Überblick und steht den Mitgliedern der kommunalen Landesverbände in Schleswig-Holstein sowie den Dienststellen der Landesverwaltung kostenlos zur Nutzung zur Verfügung.

Was ist zu tun?
Eine Anwendungsvirtualisierung kann viele Probleme lösen und die tägliche Arbeit deutlich vereinfachen, wenn vorher sorgfältig geprüft wird, ob der Her­steller und die Anwendungen richtig zusammenarbeiten.

 

10.3       Multifunktionsgeräte und Digitalkopierer 

Multifunktionsgeräte – also Drucker, Kopierer, Scanner, Fax – haben im modernen Büroalltag Einzug gehalten. Sie sind mit vielfältigen Funktionen und Diensten nicht mehr aus den Arbeitsabläufen wegzudenken.

Zu den Funktionen gehören das Kopieren von Dokumenten in unzähligen Varian­ten, das Drucken im Netzwerk, das Scannen von Dokumenten mit dem gleichzei­tigen Versenden des gescannten Dokuments als E-Mail oder das Versenden von einem Fax direkt vom Arbeitsplatz. Schon die Bedienung der diversen Druckmenüs stellt den Anwender häufig vor eine große Herausforderung. Häufig wird verges­sen, dass es sich bei Multifunktionsgeräten um leistungsfähige Server handelt. Das bedeutet, dass nicht nur die reinen Funktionen bedient werden wollen, sondern dass ein Multifunktionsgerät als Netzwerkgerät gesehen werden muss.

Es handelt sich um Rechner, die ihre Arbeit im Netzwerk verrichten. Sie sind u. a. mit Prozessor, Arbeitsspeicher, Festplatte, Netzwerkkarte und auch mit einem Betriebssystem ausgerüstet und stellen Dienste für die angeschlossenen Clients (z. B. Arbeitsplatz-PC) zur Verfügung. Aus diesen Gründen sind sie sicherheits­technisch als Server zu bewerten. Dienste werden zur Bereitstellung der viel­fältigen Funktionen benötigt und sind in Form von diversen Protokollen im Betriebssystem implementiert.

In Zusammenarbeit mit einer Sicherheitsfirma wurde für eine Fernsehreportage ein professioneller Penetrationstest an dem Multifunktionsgerät des ULD durch­geführt. Die Ergebnisse bestätigten die Befürchtungen des ULD. Es war den Angreifern u. a. möglich, die standardmäßig aktivierten Serverdienste anzugreifen, Druckaufträge im Netzwerk abzufangen und zu manipulieren und die Option des vertraulichen Druckens, die den Anwendern das sichere Versenden von Druck­aufträgen verspricht, auszuhebeln.

Eine gefährliche Sicherheitslücke stellt auch das Masteradministratorpasswort dar. Mit seiner Hilfe können sich Servicetechniker ohne Kenntnis des „normalen“, dem Kunden bekannten Administratorkennwort am Gerät anmelden und sogar das vom Kunden vergebene Administratorpasswort zurücksetzen. Erhält ein Angreifer Zugriff auf das Masteradministratorpasswort, dann kann er das Gerät komplett „übernehmen“. Wie einfach das geht, demonstrierten die Penetrationsprofis: Kein aufwendiges Sniffen und Knacken von Passwörtern, eine einfache Recherche im Internet genügte zur Beschaffung des Passworts im Klartext.

Das ULD hat eine Informationsschrift mit den Ergebnissen des Penetrationstests erarbeitet. Wegen der großen Vielfalt von Gerätetypen und Herstellern ist es unmöglich, eine vollständige Liste der Maßnahmen zur Absicherung von Multi­funktionsgeräten bereitzustellen. Folgende allgemeine Hinweise zu Sicherheits­maßnahmen sollten jedenfalls bei der Planung, Konfiguration und Dokumentation berücksichtigt werden. Ausführlichere Informationen finden sich auf der ULD-Webseite.

  • Erstellen Sie vor der Anschaffung eines Multifunktionsgerätes eine Anforde­rungsanalyse. Berücksichtigen Sie die administrativen Konfigurationsmöglich­keiten.
  • Machen Sie sich Gedanken darüber, wie Sie das Multifunktionsgerät an Ihr Netzwerk anschließen möchten. Sichern Sie gegebenenfalls den Netzwerk­anschluss ab.
  • Bedenken Sie, dass Sie alle Daten auf der Festplatte des Multifunktionsgerätes speichern können. Sie sollten die Möglichkeit zur Verschlüsselung der Festplatte überprüfen (Einsatz eines „Security-Kits“).
  • Klären Sie, welche Dienste das Multifunktionsgerät zur Verfügung stellt und welche Protokolle implementiert sind. Sind diese abschaltbar?
  • Achten Sie darauf, dass Sie das standardmäßige Administratorpasswort ändern. Denken Sie daran, dass zusätzlich ein Masterpasswort für Techniker existiert.
  • Achten Sie beim Einsatz von Boxen, also Speicherbereichen für Dateien, auf Datensparsamkeit. Legen Sie Löschintervalle fest.
  • Überprüfen Sie die Notwendigkeit, das Multifunktionsgerät über ein Webinter­face zu administrieren. Mit diesem Web-Frontend öffnen Sie auch anderen Benutzern vielfältige Funktionen.
  • Achten Sie bei einem Einsatz des Multifunktionsgerätes in einem öffentlich zugänglichen Bereich darauf, dass es ein zeitverzögertes Drucken nach PIN-Eingabe unterstützt.
  • Achten Sie auch auf konventionelle Sicherheitsmaßnahmen. Stellen Sie einen Schredder neben das Multifunktionsgerät.
  • Regeln Sie in einer Dienstanweisung den Umgang mit dem Multifunktions­gerät.
  • Dokumentieren Sie alle Einstellungen in einer Systemakte.
  • Definieren und dokumentieren Sie einen Prozess für Wartungen und Repara­turen, u. a. zur Beaufsichtigung des Servicetechnikers.

@http://www.datenschutzzentrum.de/kopierer

 

Was ist zu tun?
Multifunktionsgeräte müssen – genau wie Server – sorgfältig geplant, installiert, konfiguriert, implementiert, gewartet und dokumentiert werden. Es sollte beson­ders darauf geachtet werden, dass sich ein Multifunktionsgerät in die bestehende Sicherheitskonzeption des Netzes einfügt und nicht zu einem Sicherheitsrisiko wird.

 

10.4       Systeme ohne Herstellersupport

Alles ist vergänglich. Dies gilt besonders für die schnelllebige Informations- und Kommunikationstechnologie. Wie lange können veraltete Geräte und Programme eingesetzt werden?

Betriebssysteme und Programme haben eine bestimmte Lebensdauer. Innerhalb dieser Zeit veröffentlicht der Hersteller typischerweise Updates, welche kleinere Fehler beseitigen. Entscheidend sind die Updates, die kritische Sicherheitslücken schließen und somit die Sicherheit und Integrität gewährleisten. Wir haben in mehreren Prüfungen festgestellt, dass oft noch Software im Einsatz ist, die nicht mehr vom Hersteller mit Sicherheitsupdates unterstützt wird. Die Daten verar­beitenden Stellen gehen mit dem Einsatz solch veralteter Programme erhebliche Risiken ein, da kritische Lücken nicht mehr geschlossen werden.

Am Beispiel der Betriebssysteme der Firma Microsoft lässt sich dies sehr gut darstellen. Microsoft Windows 98 wurde offiziell bis Ende Juni 2006 unterstützt. Wir finden in einzelnen Fällen immer noch vor allem tragbare Geräte mit diesem Betriebssystem. Ähnlich sieht es mit dem Betriebssystem Windows NT in der Version 4.0 aus. Microsoft hat bereits Ende Juni 2004 die Auslieferung von wichtigen Sicherheitsupdates eingestellt. Damit sind die Betriebssysteme teilweise seit über vier Jahren nahezu ungeschützt gegen aktuelle Angriffe und Bedrohun­gen. Ein Einsatz dieser Systeme in vernetzten IuK-Umgebungen entspricht nicht dem Stand der Technik und ist in vielen Bereichen als grob fahrlässig anzusehen. Das ULD konnte im Test mit gängigen Hackertools die Systeme mit Windows NT oder Windows 98 innerhalb weniger Sekunden kompromittieren und manipu­lieren.

Organisationen, die Windows 2000 einsetzen, befinden sich bereits seit Ende Juni 2005 nicht mehr im vollen Support durch Microsoft. Updates und Patches werden noch ausgeliefert, solange das aktuelle Service Pack installiert ist. Microsoft wird den sogenannten „Extended Support“ mit der Auslieferung von kritischen Sicherheitsupdates für Windows 2000 im Juli 2010 einstellen. Spätestens dann ist ein Einsatz von Windows 2000 in vielen Szenarien nicht mehr mit den datenschutzrechtlichen Vorgaben vereinbar. Für die Server Version 2003 werden Sicherheitsupdates bis 2015 und für XP noch bis 2014 entwickelt.

Was ist zu tun?
Veraltete, vom Hersteller nicht oder nur noch unzureichend unterstützte Soft­ware darf nicht zur Verarbeitung personenbezogener Daten eingesetzt werden. Ein Einsatz verstößt gegen die datenschutzrechtlichen Bestimmungen und wird vom ULD im Rahmen von Kontrollen beanstandet.

 

10.5       Google Chrome

Die meisten Internetnutzer waren überrascht: Google, ursprünglich als Anbieter einer Suchmaschine gestartet, veröffentlicht einen eigenen Browser. Programme zur Anzeige von Internetseiten gibt es inzwischen von verschie­denen Anbietern. Neben Microsoft mischt auch Apple im Browsermarkt mit, und die Open-Source-Szene hat mit Firefox eines der populärsten Internet­programme im Portfolio. Warum nun also ein Browser von Google?

Unter Datenschutzgesichtspunkten ist Google Chrome in mehrfacher Hinsicht auffällig. Es findet eine im Vergleich zu anderen Browsern überaus rege Kommu­nikation mit Google-Servern statt. Chrome sendet jede Eingabe in der Adress­leiste in Echtzeit an Google. Auf diese Weise verschmilzt Google die klassische Adressleiste, in der Webadressen eingegeben werden, mit der Suchleiste, die Anfragen an eine Suchmaschine entgegennimmt. In Chrome gibt es nur eine Zeile für Eingaben, die jedes Mal gleichsam als Suchanfrage behandelt werden. So landen nicht nur Suchanfragen, sondern alle aufgerufenen Webseiten bei Google, die der Nutzer ganz ohne Hilfe der Suchmaschine besucht hat.

Bei der Installation pflanzt Google einen Globally Unique Identifier (GUID) ins Nutzerkonto des Anwenders, eine weltweit eindeutige Identifikationsnummer. Ein Google Updater sucht fortan nach der Anmeldung am Rechner nach Aktualisie­rungen für Chrome. Dabei wird besagte Identifikationsnummer an Google über­mittelt. Das führt dazu, dass ein Computer unabhängig von IP-Adresse oder vorhandenen Cookies jederzeit für Google wiedererkennbar ist, da die jeweils aktuelle IP-Adresse umgehend bei Google mit der GUID verknüpft werden kann. So ist es technisch möglich, jede Suchanfrage und jede Aktivität eines Nutzers im Einflussbereich von Google über lange Zeit miteinander zu verknüpfen. Das Vorhandensein einer GUID ist speziell bei Google-Produkten keine Neuheit. Auch andere Anwendungen aus dem Hause, z. B. Google Desktop oder Google Toolbar, markieren den Wirtsrechner mit einer weltweit eindeutigen Nummer. Über die Notwendigkeit einer solchen Markierung kann man streiten. Warum die ID im System verbleibt, selbst wenn man Chrome deinstalliert, lässt sich technisch kaum begründen – ebenso wenig wie der Umstand, dass der Updater weiterhin nach Updates sucht (und dabei seine Nummer übermittelt), obwohl der Browser längst entfernt wurde.

Die denkbaren Gefahren, die von Chrome für die Privatsphäre der Nutzer ausge­hen, sind immens: Theoretisch können alle Suchanfragen seit der Installation von Chrome einem einzelnen Nutzer zugeordnet werden. Entsprechendes gilt für Aufrufe von Diensten wie Google Maps oder YouTube. Ob eine derartige Korre­lation von Daten von Google durchgeführt wird, lässt sich nicht nachprüfen. Google sollte den Einsatz regelmäßig übertragener GUIDs gründlich überdenken. In Anbetracht der Informationsmenge, über die Google verfügt, sind derlei Identi­fikatoren schlicht inakzeptabel.

Was ist zu tun?
Der Einsatz von Google Chrome ist derzeit nicht zu empfehlen. Wer sich ein Bild von der Software machen möchte, sollte die portable Version „Portable Chrome“ verwenden oder die um datenschutzfeindliche Aspekte beschnittene Chrome-Variante „Iron“.

 

10.6       „Ich weiß, was du gestern gelesen hast!“

Google bietet Zugriffsstatistiken für die eigene Webseite – umfassend, leicht zu implementieren und natürlich gratis. Google Analytics wäre nicht Google, befänden sich nicht handfeste Datenschutzprobleme im Gepäck.

Google Analytics bietet Webseitenbetreibern eine einfache Möglichkeit, Auf­schluss über ihre Besucher zu erhalten. In umfangreichen Analysen schlüsselt der Dienst neben besuchten Webseiten und Verweildauer auch den vermuteten Wohnort der Besucher auf. Standards wie der eingesetzte Browser, Hostnamen- oder Refereranalyse sind selbstverständlich.

Zum Erheben dieser Daten setzt Google keine Drittanbieter-Cookies ein, wie dies klassischerweise von Analysediensten mithilfe von Blindpixeln getan wird, sondern verwendet JavaScript-Programme. Diese baut der Webmaster auf den einzelnen Unterseiten des eigenen Webangebots ein. Der JavaScript-Code wird dann bei der Anzeige der Webseite im Browser des Besuchers ausgeführt und lädt weiteren Code vom Google-Server nach. Durch diesen Kunstgriff kann Google einen Cookie unter der Flagge des aufgerufenen Webservers setzen. Das JavaScript übermittelt die Ergebnisse der Analyse sowie die im Cookie enthaltenen Informa­tionen im Zuge eines klassischen Grafikaufrufs an den Google-Server. Das Ganze bildet somit Drittanbieter-Cookies nach, ohne solche wirklich einzusetzen.

Die wenigsten Internetnutzer sind sich bewusst, dass ihr Surfverhalten beim Besuch von von Analytics unterstützten Webseiten aufgezeichnet und in die USA übermittelt wird. Google selbst fordert eigentlich einen prominenten Hinweis auf den Einsatz seiner Analysetechnik. Die Webmaster allerdings scheuen sich vor derlei Informationen und verstecken die Hinweise – wenn sie überhaupt auf ihrer Seite zu finden sind – am liebsten ganz am Ende einer klein gedruckten Daten­schutzerklärung. Die Analyse des Nutzerverhaltens auf Webseiten im Internet ist beileibe nichts Neues. Bei Google kommt aber ein erstaunliches Potenzial dazu, nämlich das Nutzerverhalten mit sämtlichen anderen Informationen zu verschnei­den, die Google besitzt.

Aus Sicht des Webseitenbetreibers stellt sich Google Analytics recht einfach dar: Nutzerdaten des eigenen Webangebots werden zu Google gegeben, eine Auswertung kommt zurück. Das ist im Kern nicht mehr, als eine lokale Analyse mit Statistikprogrammen leisten würde, dafür aber komfortabler. Bei Google laufen zudem die Daten aller Analytics-Kunden auf; eine Verknüpfung der Aktivitäten desselben Nutzers auf verschiedenen Webseiten ist möglich. Nicht zuletzt durch die GUID, die bei jedem Rechnerstart die aktuelle IP-Adresse an Google übermittelt, ist eine Zusammenführung der Analytics-Daten mit jedem anderen genutzten Google-Dienst denkbar. So könnten Suchanfragen, Landkartenaufrufe und Chats, Fotos, Dokumente und das Surfverhalten miteinander verschnitten werden. Der Webseitenbetreiber hat kaum Einflussmöglichkeiten auf die bei Google gespei­cherten Logdateien seines Servers. Er kann diese nur komplett löschen lassen, indem er sein Profil bei Google löscht. Einzelne Informationen zu löschen ist nicht möglich. Ebenso kann der Betreiber keinen Einblick in die bei Google gespeicher­ten Rohdaten nehmen, die Einsicht ist stets auf die fertigen Aggregate beschränkt. Google selbst weist die Vorstellung von sich, Korrelationen zwischen den verschie­denen Daten der einzelnen Dienste herzustellen.

Auf Nutzerseite lassen sich Tracking-Dienste wie Google Analytics durch kleinere Eingriffe in die Einstellungen des eigenen Browsers ausschalten. Internetnutzer können sich auf der ULD-Webseite über entsprechende Gegenmaßnahmen infor­mieren.

@http://www.datenschutzzentrum.de/tracking/

Was ist zu tun?
Webseitenbetreiber sollten überlegen, ob eine lokale Analyse der eigenen Log­daten mithilfe von Statistikprogrammen ausreichende Ergebnisse liefert. In diesem Falle sollten die Logdaten spätestens nach 24 Stunden ohne Beibehaltung von IP-Adressen aggregiert werden. Die Rohdaten mit IP-Adressen müssen spätestens nach 24 Stunden gelöscht werden. Muss auf externe Dienstleister zurückgegriffen werden, so ist zu beachten, dass kein Datentransfer ins außer­europäische Ausland stattfindet. Webseitenbesucher sind deutlich über die Verwendung externer Dienstleister aufzuklären.

 

10.7       Personal Firewalls

Personal Firewalls galten lange als Maß der Dinge für die Absicherung eines einzelnen PCs im Internet. Doch wogegen schützen sie wirklich?

Die Idee ist eigentlich einfach: Eine Software auf dem eigenen Rechner überprüft eingehenden wie ausgehenden Datenverkehr und informiert den Nutzer über unbefugte Zugriffe bzw. blockiert diese selbsttätig. Konventionelle Firewalls arbeiten als eigenständiges Gerät, das zwischen PC und Netzwerkübergang geschaltet wird. Solche Firewalls können bei ausgehendem Datenverkehr natur­gemäß nicht entscheiden, ob dieser legitim ist – schließlich haben sie keine Kennt­nis über die auf dem Computer gerade laufenden Anwendungen.

Personal Firewalls sollen diese Lücke schlie­ßen, da sie theoretisch alle auf dem Rechner laufenden Prozesse kennen und so bei ausge­henden Datenpaketen die Spreu vom Weizen trennen können. Praktisch hat das Konzept allerdings Schwächen. Das größte Problem stellt die halb automatische Analyse des Datenverkehrs dar. Personal Firewalls können nicht von sich aus erkennen, ob eine spezifi­sche Datenübertragung legitim ist. Daher wird der Nutzer aufgefordert, für eine bestimmte Verbindung eine Entscheidung zu treffen. Die Firewall zeigt dazu bestimmte Informationen wie Quellport, Zieladresse, auslösenden Prozess und verwendete Protokolle an. Der Nutzer muss auf Basis dieser Informationen einstu­fen, ob er die aktuelle Verbindung genehmigen oder blockieren möchte. Diese Aufgabe ist jedoch selbst mit einiger Fachkenntnis nicht immer zweifelsfrei zu bewältigen. Einerseits suchen viele Anwendungen mit eigenen Prozessen nach Aktualisierungen, andererseits geben sich Schädlinge möglichst unauffällige Pro­grammnamen, um gerade solche Firewallabfragen zu passieren.

Hinzu kommen diverse Möglichkeiten, Informationen an Personal Firewalls vorbeizuschmuggeln. Die einfachste besteht darin, den Browserprozess zu benut­zen, um im Schlepptau einer von der Firewall akzeptierten Verbindung Daten nach außen zu transportieren. Die eigentliche Stärke des Konzepts, nämlich die laufenden Anwendungen und damit Ursprünge von Datenpaketen sehen zu können, erweist sich so insgesamt als größte Schwäche. Da die Personal Firewall naturgemäß auf dem zu überwachenden System laufen muss, ist sie automatisch betroffen, wenn dieses System kompromittiert wird. Ein Schädling, der das Betriebssystem befallen hat, wird unter Umständen zuerst versuchen, die Personal Firewall zu beenden oder zu manipulieren. Der Widerspruch, als Teil eines kompromittierten Systems genau dieses zu schützen, lässt sich daher nicht ausräumen.

Was ist zu tun?
Personal Firewalls können erfahrenen Anwendern Hilfestellung bei der Analyse ihres Systems geben. Sie können gleichfalls vor den Auswirkungen einiger Schadprogramme schützen. Für unerfahrene Anwender stellen Personal Firewalls keinen wesentlichen Sicherheitsgewinn dar. Durch Fehlbedienung ist unter Umständen sogar eine Verringerung des Sicherheitsniveaus möglich.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel