1. Behörden-Zwickmühle: Technologie-Führung vs. Datenschutz - Tuv

Einzelheftpreis € 15,- 49187
5/2011 Februar April Juni August Oktober Dezember
„Rechte müssen
am Benutzer aufgehängt sein!“
Im Interview: Jörg von der Heydt,
Channel- und Marketing-Manager Deutschland bei Fortinet
Content Security
••
Bedrohungsszenario wird
komplexer
••
Stand bei Advanced Evasion
Techniques
••
Sicherung von Web-Applikationen
Security im Öffentlichen Dienst
••
Behörden-Zwickmühle:
Technologie-Führung vs. Datenschutz
••
Staatlicher IT-Schutz:
Das neue Cyber-Abwehrzentrum
••
IT-Dienstleister für Kommunen
Weitere Themen
••
Im Test: DataCore SANsymphony-V R8
••
Security total: it-sa-Messe in Nürnberg
••
Datenschutz: Neues Konzept für ein
EU-Recht
www.datakontext.com

Editorial
Gesellschaftsaufgabe IT-Sicherheit
Anlässlich der PITS 2011 (Public-IT-Security)
in Berlin am 15. September erklärte
Michael Hange, Präsident des Bundesamtes
für Sicherheit in der Informationstechnik
(BSI), dass IT-Sicherheit eine gesamtgesellschaftliche
Aufgabe sei und betonte,
dass „zu keinem Zeitpunkt vorher Fragen
der IT-Sicherheit so wichtig waren wie
derzeit“. Für den Staat sei die richtige Balance
zwischen Sicherheit, Wirtschaftlichkeit
und persönlichen Grundrechten eine
Herausforderung. Aber auch die Bürger
haben laut einer repräsentativen Studie
des Allensbach-Instituts, die im Auftrag
der von T-System durchgeführt wurde,
Angst vor Gefahren aus dem Internet.
Rund drei Viertel der Bundesbürger machen
sich Sorgen um den Missbrauch ihrer
persönlichen Daten und Datenbetrug im
Internet, berichtete der T-Systems-Vorstand
Reinhard Clemens.
Der Staat unternimmt einiges, um zum einen
natürlich die eigenen Institutionen,
zum anderen auch Bürger und Unternehmen
vor den Gefahren der Internet-basierten
Kommunikation zu schützen. Eine
Reihe wichtiger Aspekte zu diesem Thema
kommen im Schwerpunkt Öffentlicher
Dienst in dieser Ausgabe zur Sprache. Unter
anderem stellt Ihnen in diesem Rahmen
unsere Autorin Caroline Neufert Organisation
und Funktion des
Cyber-Abwehrzentrums vor, das kürzlich
als übergreifende Behörde ins Leben gerufen
wurde.
Nicht nur in dieser Behörde spiegelt sich
die zunehmende Verschmelzung der beiden
historisch weitgehend getrennt behandelten
Disziplinen IT-Sicherheit und
Datenschutz wieder. In der Tat wird heute
beides fast immer im gleichen Atemzug
genannt. Aus diesem Grund haben wir
auch für die IT-SICHERHEIT, die übrigens
Mitte der Neunziger Jahre aus einem Magazin
für den Datenschutz hervorgegangen
ist, unseren Autorenpool zum Thema
Datenschutz erweitert.
In der Aktuellen Ausgabe schlägt sich das
in einer gut gefüllten Rubrik Datenschutz
nieder. So befasst sich etwa Gabriela Krader,
Vorstand der Gesellschaft für Datenschutz
und Datensicherheit e. V. (GDD) in
ihrem Artikel mit Fragen, wie Unternehmen
die Einhaltung gesetzlicher Bestimmungen
durch effiziente Risikoerkennungssysteme
und nachhaltige Verfolgung
von Rechtsverletzungen sicherstellen
müssen. Sebastian Tandler und Karl Viertel
von Deloitte behandeln Unterschiede der
Datenschutzregelungen in Deutschland,
Frankreich, Spanien und England. Rechtsanwalt
Christoph Klug, Leiter Internationale
Angelegenheiten beim GDD e.V. erläutert
das neue EU-Datenschutzrecht.
Und unser Beitrag zur Sommerakademie
Prof. Dr. Jan von Knop
2011 des Unabhängigen Landeszentrums
für Datenschutz Schleswig Holstein
schließlich plädiert für die Vergabe klarer
Verantwortlichkeiten bei Verfahren des
Cloud-Computing und des E-Gouvernments
ebenso wie bei Werbeangeboten
im Internet.
it-sicherheit [5/2011]
3

Inhalt
Gut getarnt ins
Netzwerk:
Wie bedrohlich sind
Advanced Evasion
Techniques?
Business-IT-
Management im Griff:
Die Rolle von
IT-Governance in
Unternehmen
24 42
Cyber-Sicherheit in
Deutschland:
Initiativen zum Schutz
vor Angriffen
28
Unterschiede der
Datenschutzregelungen
in Deutschland,
Frankreich, Spanien
und England
66
Editorial
3 Gesellschaftsaufgabe IT-Sicherheit
News – Markt und Unternehmen
6 Aktuelle Meldungen
Produkt News
8 Neuheiten auf dem Markt
Aktuelles
10 it-sa 2011: Volles Spektrum der IT-Sicherheit
Titel-Story
12 Spagat zwischen Security, Wirtschaftlichkeit und
Performance
14 Im Interview: Jörg von der Heydt, Channel- und
Marketing-Manager Deutschland bei Fortinet
Content Security
16 Proaktiv statt reaktiv – die sichere Entwicklung von
Web-Applikationen
18 Immunsystem für den Endpunkt
20 Wie bedrohlich sind Advanced Evasion Techniques?
24 Malware-Bedrohung komplexer denn je
Security im öffentlichen Dienst
42 Die neue Rolle der IT-Sicherheitsverantwortlichen im
E-Government
44 IT-Dienstleister für Kommunen
46 Cyber-Sicherheit in Deutschland: Initiativen zum
Schutz vor Angriffen
48 Grundlagen, Sicherheit und Anwendung von
De-Mail
Test-Labor
50 Im Test: DataCore SANsymphony-V R8
Produkte & Technologien
53 Deutscher Internet-Index
56 Kennzahlensysteme für die Informationssicherheit
58 Neue Wege aus der Spreadsheet-Falle
60 Die Rolle von IT-Governance in Unternehmen
Datenschutz
62 Spannungsfeld Datenschutz und Compliance
65 Optimierte Verantwortung/slosigkeit
66 Länderübergreifende Verarbeitung personenbezogener
Daten
68 Neues EU-Datenschutzrecht – das Konzept der
EU-Kommission
IT-Recht & Rechtsprechung
70 Fallbeispiele: Allgemeine Geschäftsbedingungen
72 Urteilsbesprechung
Services
23 DATAKONTEXT Webportal
28 Anbieterübersicht: UTM-Appliances
33 IT-SICHERHEITpraxis
41 Security-Marktplatz it-sicherheit.de
74 Veranstaltungskalender
76 Rubrikanzeigen
78 Impressum
Vorschau
78 Ausblick auf die Ausgaben 6/11 und 1/12
+++ IT-SICHERHEIT – der Newsletter +++ Jetzt registrieren unter www.datakontext.com/newsletter +++
it-sicherheit [5/2011]
5

Content Security
Sichere Entwicklung von Web-Applikationen
Proaktiv statt reaktiv
Die professionelle Implementierung von IT-Security spart Kosten und verschafft
Wettbewerbsvorteile. Dabei sollten sicherheitsrelevante Aspekte
frühzeitig in die Entwicklung neuer Web-Applikationen eingebunden werden.
Das vermeidet nachträglichen Mehraufwand oder gar Schadensfälle.
Erfahrungen zeigen, dass die Kosten zur Fehlerbehebung mit fortschreitender
Entwicklungsstufe von der Analyse bis zur Implementierung um den Faktor
zehn ansteigen. In den einzelnen Entwicklungsstufen der sicheren Entwicklung
sind unterschiedliche Fragen zu berücksichtigen.
Sicherheitsrelevante Schwachstellen werden
oft (zu) spät im Entwicklungsprozess
von Web-Applikationen aufgedeckt: Meist
befindet man sich schon in der Testphase
(User Acceptance Testing Phase) der Anwendung
oder sogar im Livebetrieb (on
Production). Häufige Sicherheitslücken
in Web-Applikationen sind sogenannte
Cross-Site-Skriptings. Bei darauf basierenden
Attacken legt ein Angreifer gefährlichen
Programmcode in einer verwundbaren
Web-Applikation ab. Wenn Benutzer
auf diese Applikation zugreifen, führen sie
den Code unbemerkt in ihrem Browser aus,
so dass der Angreifer beispielsweise sensitive
Benutzerdaten abgreifen kann. Eine
weitere Sicherheitslücke ist die sogenannte
SQL-Injection, bei der ein Angreifer versucht,
eigene Befehle in die Datenbank der
Web-Applikation einzuschleusen – zum
Beispiel über Formularfelder in einer Web-
Applikation –, um die Kontrolle zu erhalten
oder Daten auszulesen.
Ein Grund für das Entstehen von Sicherheitslücken
kann sein, dass die Entwickler
nicht über die Sensibilität für das Thema IT-
Sicherheit verfügen oder nicht ausreichend
in dem Thema ausgebildet sind. Es kann
aber auch an falschen Prioritäten und den
Kosten liegen, denn jede weitere Anforderung
in der Roadmap bedeutet zunächst
einmal potenziell zusätzliche Entwicklungskosten
und eine mögliche Verlängerung
des Zeitplans.
Ein besonderes Risiko für die Anwendungssicherheit
entsteht, wenn die Entwicklung
ausgelagert wird. In dem Fall ist das naheliegende
Ziel des Auftraggebers, eine qualitativ
hochwertige, sichere Anwendung zu
erhalten. Das Ziel des Auftragnehmers dagegen
ist häufig eine schnelle und günstige
Entwicklung mit dem Fokus auf Funktionalität
und Anwenderfreundlichkeit (Usability),
da diese beiden Merkmale dem Auftraggeber
sofort ins Auge fallen – im
Gegensatz zu fehlenden Sicherheitsmerkmalen,
die meist erst später bemerkt werden.
Daher kommt der Sicherheitsaspekt
bei externen Entwicklungen häufig zu kurz.
Bei näherer Untersuchung stellt sich aber
heraus, dass gerade das Kostenargument
ein Scheinargument ist: Die nachträgliche
Behebung von Schwachstellen erzeugt wesentlich
höhere Kosten, als eine rechtzeitige
konzeptionelle Berücksichtigung sicherheitsrelevanter
Risiken verursacht hätte.
Außerdem geht eine späte Korrektur fast
immer mit einer Verzögerung im „Go Live“
einher. Und im schlimmsten Fall hat es
dann schon einen Sicherheitsvorfall (Incident)
gegeben, der einen hohen Imageschaden
verursacht hat. Daher sollte man
bei der Neuentwicklung von Web-Applikationen
sicherheitsrelevante Aspekte bereits
in den Entwicklungsprozess integrieren.
Stufen der sicheren Entwicklung
Um potenzielle Sicherheitsrisiken früh erkennen
und in der Entwicklung berücksichtigen
zu können, werden sicherheitsrelevante
Aspekte in die einzelnen Phasen
des Software-Entwicklungsprozesses integriert.
Welche der im Folgenden beschriebenen
Schritte im Einzelfall tatsächlich
umgesetzt werden sollten, hängt von der
Größe und Komplexität des Entwicklungsprojektes
ab.
Bereits in die erste Phase der Planung und
Analyse werden Sicherheitsanforderungen
aufgenommen. Dazu gehören Anwendungsfälle
(Use Cases), die sicherheitsrelevant
sind, aber auch eine missbräuchliche
Verwendung des Systems (Misuse Cases),
die zu einem Schaden für das Unternehmen
führen kann. Zu Beginn erfolgt die
Definition, welchen Sicherheitslevel die
Anwendung haben soll. Die Sicherheitsanforderungen
werden wie andere nichtfunktionale
Anforderungen überwacht.
Dies stellt sicher, dass ihre Umsetzung
nicht von der Einschätzung einzelner Entwickler
abhängt, sondern konsequent verfolgt
wird. Bei externer Software-Entwicklung
ermöglicht das sogenannte „Tracken“
(Zurückverfolgen) der Anforderungen eine
Überwachung des Software-Entwicklungspartners.
In der zweiten Phase, der Entwurfsphase,
geht es um die Entwicklung von Bedrohungsszenarien
(Threat-Modelle), um die
potenziellen Gefahren für die geplante
Web-Applikation zu analysieren: Was sind
schützenswerte Daten, was die potenziellen
Angriffspunkte der Anwendung und
wie würde ein Angreifer vorgehen, um die
Applikation zu kompromittieren? Dabei
geht man systematisch vor, um sicherzustellen,
dass ein großer Teil der potentiellen
Angriffe auch wirklich berücksichtigt
wird. Die Analyse einer Bedrohung und ihres
wahrscheinlichen Schadenspotenzials
stellt sicher, dass Sicherheitsmaßnahmen
nur gegen reale Bedrohungen umgesetzt
werden und in einem vernünftigen Kosten-
Nutzen-Verhältnis stehen. Im Anschluss an
das Threat Modeling werden die umzusetzenden
Sicherheitsmaßnahmen modelliert.
Die dritte Phase ist die Programmierphase,
in der die Entwickler geschult werden.
Noch vor der eigentlichen Programmierung
lernen die Entwickler, was eine sichere Programmierung
ausmacht. Für Web-Applikationen
relevant ist beispielsweise das Open
Web Application Security Project (OWASP).
Es bietet eine sehr gute Orientierung.
Punktuell lässt das Entwicklerteam sich bei
der Umsetzung von einzelnen Sicherheitsanforderungen
oder der Implementierung
besonders sicherheitskritischer Punkte von
16 it-sicherheit [5/2011]

BÜROTECHNIK
Content Security
Threat Modeling
beschreibt den systematischen Ansatz der Modellierung potenzieller Bedrohungen. Ausgangspunkte
der Modellierung sind die Identifizierung kritischer Ressourcen, sogenannter Assets – das sind zum
Beispiel Kundendaten eines Web-Shops –, und die Identifikation von Bedrohungen, die zu einem
Schaden dieser Ressourcen führen würden, etwa das Entwenden oder Löschen der Kundendaten.
Nach der Identifikation der Bedrohungen erfolgt eine Bestimmung des Risikos. Eine gängige Möglichkeit
hierfür ist die Multiplikation der Eintrittswahrscheinlichkeit einer Bedrohung mit ihrem Schadenspotenzial.
Dies ermöglicht eine Einstufung der Bedrohungen, woraus wiederum eine Priorisierung
der umzusetzenden Sicherheitsmaßnahmen abgeleitet werden kann.
Experten unterstützen (3rd Level Support).
Besonders kritische Punkte sind etwa die
Benutzerauthentifizierung, die Session-
Verwaltung oder Datenbankzugriffe. Diese
werden von externen Experten mit entsprechendem
Fachwissen analysiert (externe
Source-Code-Analyse).
Die vierte und letzte Phase ist die Validierungs-
und Verifikationsphase. Hier werden
sicherheitsrelevante Testfälle (Cases) erstellt
und ausgeführt. Dadurch lässt sich
prüfen, inwieweit die definierten Sicherheitsanforderungen
umgesetzt wurden.
Der Testprozess verläuft nach ISTQB (International
Software Testing Qualification
Board), das beschreibt, wie das übergeordnete
Testmanagement vorgeht: Es plant
alle Testaktivitäten und gibt vor, wann was
von wem getestet wird. Verschiedene Entwicklungsmodelle
unterstützen das Testmanagement
hierbei, etwa das V-Modell in
vier Stufen:
- Modultest: Entwicklercode wird getestet
- Integrationstest: Verschiedene Softwaremodule
werden integriert getestet
- Systemtest: Alle Module und Schnittstellen
in andere Systeme werden getestet
- Abnahmetest: Test der kompletten Applikation
aus Benutzersicht
Weitere Entwicklungsmodelle sind etwa
agile Modelle wie Scrum oder V-Modell XT,
die vor allem bei sehr schnellen Entwicklungszyklen
eingesetzt werden.
Für den Bereich Secure Development fokussieren
das Testmanagement und die
ausführende Einheit der Tester alle sicherheitsrelevanten
Tests. Sie leiten aus den
Anforderungen Anwendungsfälle (Use Cases)
ab und überführen diese in spezielle
Testfälle (Test Cases). Diese Validierungsund
Verifikationsphase endet mit einer externen
Sicherheitsanalyse der Software inklusive
der Betriebsumgebung. Das ist der
Abschlusstest vor der Inbetriebnahme. Er
deckt nicht nur Schwachstellen in der Web-
Applikation selber auf, sondern auch in der
Infrastruktur, beispielsweise im Web- und
Datenbank-Server.
Resümee
Die frühzeitige Integration von Sicherheitsanforderungen
in den Entwicklungsprozess
hat viele Vorteile: Vor allem gewährleistet
sie eine höhere Software-Qualität – die
Software weist nachweisbar weniger Sicherheitsschwachstellen
auf, ein nicht zu
unterschätzender Vorteil im Wettbewerb.
Die Hinzuziehung von externem Spezialisten-Know-how
– einem kombinierten Wissenspool
aus Software-, Test- und Security-
Kompetenz – schafft den eigenen
Entwicklern Freiraum, sich auf ihre Kernkompetenzen
zu fokussieren. Das spart
Ressourcen, reduziert die Entwicklungszeit
neuer Web-Applikationen bis zur Marktreife
(Time to Market) und verbessert die
Planbarkeit. Mit einer frühzeitigen Definition
der Sicherheitsanforderungen (Key Performance
Indikators – KPIs, Service Level
Agreements – SLAs) kann man das gewünschte
Sicherheitsniveau definieren und
steuern. Last but not least ist die Fehlervermeidung
immer weit günstiger als die
nachträgliche Fehlerbehebung und beschert
dadurch dem Unternehmen einen
schnelleren Return on Invest (Quick ROI).n
Jörg Sonntag,
Head of Quality
Assurance TÜV
Rheinland i-sec GmbH
Dr.-Ing.
Daniel Hamburg,
Head of Security
Engineering TÜV
Rheinland i-sec GmbH
Für Abonnenten ist dieser Artikel auch digital auf www.datakontext.com verfügbar
Weitere Artikel/News zum Schwerpunkt unter www.datakontext.com/content
HSM GmbH + Co. KG · Germany · info@hsm.eu · Gratis-Hotline 00800 4 4777766
Der HSM SECURIO
macht seinen Job,
damit Sie Ihren
behalten.
Wo entsorgen Sie Ihre Notizen zur
aktuellen Personalplanung, Dokumente
mit neuen Produktideen oder Akten,
deren Aufbewahrungsfrist abgelaufen
ist? Im Papierkorb? Dann gelangen
Sie einfach in die Hände Dritter und
dem Datenmissbrauch ist Tür und Tor
geöffnet. Schützen Sie sich vor großen
finanziellen Schäden, vor dem Verlust
von Job, Ehre und Ansehen durch einen
HSM SECURIO Akten vernichter. Die
HSM SECURIO P-Linie bringt ganzen
Büroetagen Datensicherheit und Ihnen
das gute Gefühl von Qualität „Made in
Germany“.
www.hsm.eu
it-sicherheit [5/2011]
17

Security im ÖD
Die neue Rolle der IT-Sicherheitsverantwortlichen
im E-Government
Behörden-Zwickmühle:
Technologie-Führung vs. Datenschutz
Öffentliche Institutionen müssen Compliance- und Datenschutz-Bestimmungen
zuverlässig erfüllen. In Deutschland sind sie gleichzeitig Vorreiter auf
dem Gebiet der Online-Services und der neuen Technologien. Wie schaffen
IT-Sicherheitsverantwortliche den Spagat zwischen Innovation, öffentlicher
Debatte und Compliance?
Seit 2009 müssen Unternehmen meldepflichtige
Datenpannen eigenständig bei
der für sie zuständigen Landesdatenschutzbehörde
melden und die Betroffenen informieren.
Der Gesetzgeber hat den erzieherischen
Effekt durch das Bekanntwerden in
der Öffentlichkeit bewusst eingeplant.
Noch sind Behörden und Verwaltungen von
der Meldepflicht ausgenommen. Nach
Meinung des Bundesdatenschutzbeauftragten
Peter Schaar müssten sie jedoch
den gleichen strengen Regelungen unterworfen
werden wie Unternehmen. Denn
sie setzen auf EDV-gestützte Verfahren,
sind untereinander vernetzt und speichern
sensible Personendaten. Welche besondere
Rolle spielen Datenschutz und Datensicherheit
für Behörden und wie können IT-
Sicherheitsverantwortliche in öffentlichen
Institutionen auf die Bedrohungen reagieren?
Wachsende Sicherheitsprobleme
Das deutsche Regierungsnetz wird laut
Bundesamt für Sicherheit in der Informationstechnik
(BSI) durchschnittlich vier- bis
fünfmal täglich gezielt attackiert. Im
Schnitt taucht alle zwei Sekunden ein neues
Schadprogamm (Virus oder Trojaner)
auf. Das sind mehr als 1 Million Schadprogramme
pro Woche. Täglich entdecken BSI-
Mitarbeiter rund 20.000 infizierte Webseiten.
Von Januar bis September 2010 hat es laut
Verfassungsschutz 1.600 Angriffe auf deutsche
Behördenrechner gegeben, die meisten
davon aus der Volksrepublik China. Im
selben Zeitraum waren es im Jahr 2009 nur
900. Das Innenministerium sah sich durch
die sprunghaft steigenden Attacken auf
deutsche Behördenrechner zum Handeln
gezwungen und eröffnete im Juni 2011 ein
eigenes Cyber-Abwehrzentrum in Bonn.
Für Behörden und öffentliche Einrichtungen
sind Vorfälle, bei denen Daten gestohlen
wurden, besonders kritisch: Die Bürger
sind stark sensibilisiert und erwarten von
den Behörden unbedingte Sorgfalt im Umgang
mit ihren Daten. Bereits kleine Ereignisse
können zu heißen öffentlichen Debatten
führen.
Behörden in der Vorreiterrolle:
Zwischen konservativem Image und
Early Adopter
Neue Verfahren werden in der Öffentlichkeit
heftig diskutiert, vor allem in Bezug
auf ihre Sicherheit. Während sich die digitale
Übermittlung von Steuerdaten an Finanzämter
über die Software ELSTER allmählich
etabliert hat und Akzeptanz findet,
wurde ELENA auf Eis gelegt. ELENA steht
für „Elektronischer Entgeltnachweis“ und
sollte Anträge auf Sozialleistungen vereinfachen
und beschleunigen. Arbeitgeber
wurden gesetzlich verpflichtet, die monatlichen
Entgeltdaten von Beschäftigten an
eine zentrale Speicherstelle zu übermitteln.
ELENA sollte der Entbürokratisierung dienen,
musste aber im Juli 2011 wegen der
mangelnden Verbreitung der qualifizierten
elektronischen Signatur wieder eingestellt
werden.
Ebenfalls heftig umstritten ist der elektronische
Personalausweis, der in Presseberichten
sogar als „Sicherheitsrisiko für
seine Besitzer“ bezeichnet wurde. Computerexperten
hätten den Chip eines Prototypausweises
geknackt und die geheime
PIN-Nummer ändern können, berichtete
das WDR-Magazin „Bericht aus Brüssel“
im September letzten Jahres. So hätten
sie alle neuen Servicefunktionen, die der
Personalausweis den Verbrauchern liefert,
sperren können und die geplante elektronische
Signatur manipuliert.
Dies verdeutlicht aber auch den Spagat,
den die Behörden machen: Sie betreiben
zunehmend E-Government und öffnen sich
für Online-Anwendungen und -Services.
42 it-sicherheit [5/2011]

Security im ÖD
Im Juli 2011 wurde bekannt, dass Hacker in
die Server des Zolls eingedrungen sind und
dort Daten der Zollfahndung gestohlen haben.
Ziel der Attacke war das Zielverfolgungssystem
Patras, auf das mehrere Ermittlungsbehörden
des Bundes zugreifen.
Anschließend veröffentlichten die Hacker
die Daten observierter Personen und Objekte
sowie der Ermittler. Die Gruppe „No-Name
Crew“ bekannte sich zu dem Angriff und
kündigte einen weiteren auf Server der Bundespolizei
an.
Häufig sind sie sogar die Innovationstreiber,
die sehr früh und teilweise vor der Industrie
neue Technologien adaptieren. Der
elektronische Personalausweis mit seiner
integrierten digitalen Signatur ist ein Beispiel
dafür: Er öffnet die Türen für den vertraulichen
Austausch sensibler Daten und
den Abschluss von Online-Verträgen – Anwendungen,
die im Online-Zeitalter eigentlich
längst überfällig sind.
Eine Vorreiterrolle spielt auch die Deutsche
Rentenversicherung, die seit Jahren Erfahrungen
mit der sicheren Nutzung des
„eService“ macht, einem Programm zur
computerunterstützten Antragserfassung:
Alle Kunden der gesetzlichen Rentenversicherung
können den eService nutzen, die
im Besitz einer Signaturkarte oder eines
neuen Personalausweises mit elektronischem
Identitätsnachweis (eID) sind und
die Hard- und Software-Voraussetzungen
erfüllen. Die Signaturkarte sorgt mit Authentifizierungs-
und Verschlüsselungs-PIN
dafür, dass alle Daten verschlüsselt werden
und der Anwender als Nutzer identifiziert
wird. Mit einer dritten PIN, der Signatur-
PIN, signieren Anwender den elektronischen
Schriftverkehr mit dem Rentenversicherer.
Da es sich nicht um Standardprogramme
und altbekannte Technologien handelt, ist
offensichtlich, dass die Systeme nicht mit
Standardmaßnahmen gesichert werden
können. Mit neuen Technologien betreten
die Behörden unbekanntes Terrain und
müssen neue, innovative Ansätze entwickeln,
die über „Standard-Sicherheitsmaßnahmen“
hinausgehen.
Spagat zwischen hohen Anforderungen
und innovativem Ehrgeiz
Die hohe Spezialisierung und Komplexität
im E-Government ist eine große Herausforderung,
da auch hohe Anforderungen
erfüllt werden müssen. Diese betreffen
sowohl den Datenschutz und die Datensicherheit
sensibler Daten und die Kommunikation
wie auch die Compliance. Die Bürger
und Anwender haben besonders hohe
Ansprüche an Verfügbarkeit und Compliance
im Online-Bereich, denn sie wollen
die Services zu jeder Tages- und Nachtzeit
nutzen können, aber gleichzeitig sichergehen,
dass ihre Daten im Austausch mit Behörden
einwandfrei geschützt sind. Für das
Image einer Behörde ist eine Datenpanne
fast noch schädlicher als für ein Unternehmen
aus der Wirtschaft, denn Vertrauen
und Verlässlichkeit sind ihr Kapital und die
gesetzlichen Datenschutz-Bestimmungen
besonders hoch.
Im Bereich der Sozialdaten beispielsweise
ist das Sozialgesetzbuch (SGB) für den Datenschutz
maßgeblich, das sehr hohe Anforderungen
stellt: Es regelt bis ins Detail,
welche Daten eines Antragstellers zu welchem
Zweck vom Leistungsträger eingesehen
und welche Informationen gespeichert
werden dürfen und wie lange.
Anfang des Jahres ist das europäische Emissionshandelssystem
zum Ziel von Internetkriminellen
geworden. In der Folge mussten
siebzehn nationale Handelsregister zeitweise
den Betrieb einstellen. Zahlreiche Inhaber
von CO2-Zertifikaten bekamen eine E-
Mail, die aussah, als käme sie von der
Deutschen Emissionshandelsstelle (DEHST).
Sie wurden aufgefordert, ihre Passwörter
auf einer imitierten DEHST-Seite einzugeben,
um Hackerangriffen vorzubeugen. Diese
Methode heißt „Phishing“ und ist aus
dem Online-Banking bekannt, war bisher jedoch
im Emissionshandel nicht aufgetaucht.
Die Betrüger erbeuteten die Passwörter
und Codenummern von sieben
deutschen Kunden. Sie transferierten rund
250.000 Zertifikate im Wert von drei Millionen
Euro auf ein Konto in Dänemark, von
dort aus verkauften sie die Verschmutzungsrechte
weiter.
Resümee
IT-Sicherheitsbeauftragte in Behörden müssen
zunehmend nicht nur die Regularien,
Gesetze und Standards im Blick behalten
und Compliance-Bestimmungen einhalten,
sondern sie müssen auch Innovationen,
wirtschaftliche Erwägungen und Sicherheit
in Deckung bringen. Entscheidungen werden
erst dann anforderungsgerecht, wenn
auf alle Aspekte von fundierten Sicherheitsmaßnahmen
für neue Technologien
bis zur Berücksichtigung des Bürgerinteresses
und der öffentlichen Wahrnehmung
eingegangen wird. Diese Situation erfordert
ein partielles Umdenken bei den IT-Sicherheitsbeauftragten:
Sie müssen gleichzeitig
ein tiefes Verständnis für technische
Verfahren entwickeln und sich dabei den
stetig ändernden Anforderungen und Einflüssen
aus der Öffentlichkeit stellen.
Daraus folgt, dass sie nicht (mehr) als
"Wachhund" über die IT agieren können,
sondern mit tiefem Technologieverständnis
als Vermittler zwischen Innovation, öffentlicher
Debatte und Compliance auftreten
müssen, weit weg von einer Absicherungsmentalität,
die man ihnen in der Öffentlichkeit
immer noch unterstellt.
n
Für Abonnenten ist dieser Artikel auch digital auf www.datakontext.com verfügbar
Weitere Artikel/News zum Schwerpunkt unter www.datakontext.com/oed
Andreas Reese,
Executive Consultant / ISMC Strategische
Informationssicherheit,
TÜV Rheinland i-sec GmbH
http://www.tuv.com/informationssicherheit
it-sicherheit [5/2011]
43