16.4
Erste Erfahrungen beim Einsatz von Novell Netware
Bereits in meinem 18. Tätigkeitsbericht (vgl. Ziff. 16.3) habe ich anläßlich des zunehmenden Einsatzes von PC-Netzen über die Möglichkeiten zum Schutz sensibler Daten und deren Gefährdungen in derartigen Netzen berichtet.
In den vergangenen drei Jahren ist die Zahl der Netze in der Landesverwaltung und im kommunalen Bereich ständig gestiegen, und der Trend, einzelne PC in Netze zu integrieren, wird sich, was an den bereits bekannten Planungsunterlagen einzelner Verwaltungen erkennbar ist, auch in den nächsten Jahren fortsetzen.
16.4.1
Motivationen für die Integration von PC in Netze
Die Gründe der Verwaltungen für eine Netzintegration
von PC
sind zwar unterschiedlich, lassen sich aber auf die folgenden
Grundmotive zurückführen:
- Gemeinsame Datenhaltung (Datenverbund); zwei oder mehr
Anwender müssen von verschiedenen Arbeitsplätzen auf
denselben Datenbestand zugreifen.
- Funktionsverbund; z.B. die Ergebnisse einer Anwendung müssen
für eine nächste Anwendung als Eingangsdaten vorliegen.
- Lastverbund; eine Anwendung wird aus Lastgründen auf einen
oder mehrere PC oder den Server verteilt.
- Resource-Sharing; die im Netz möglicherweise nur einmal
vorhandenen Spezialgeräte, z.B. ein FAX-PC (vgl.
20. Tätigkeitsbericht, Ziff. 9.1.3) oder ein Plotter können,
sofern dies im Rahmen der jeweils eingesetzten Anwendung nötig
und zulässig ist, von allen Anwendern benutzt werden.
- Mailing; das Netz wird als zusätzliches, die Hauspost und
das
Telefon ergänzendes Kommunikationsmittel benutzt.
- Verfügbarkeit; durch die zentrale Datenhaltung oder auch
nur
zentrale Datensicherung erhöht sich in Verbindung mit den
mehrfach vorhandenen Arbeitsplatzausstattungen die
Verfügbarkeit erheblich gegenüber einzelnen PC, wenn
man das
Problem eines Serverausfalls bei der Netzwerkkonzeption
mitbedacht hat.
- Zentrale DV-Verwaltung; viele Verwaltungen haben in den
vergangenen Jahren erkennen müssen, daß der
eigenverantwortliche Einsatz von PC in den einzelnen
Abteilungen aus den unterschiedlichsten Gründen den
Erfordernissen einer "ordnungsgemäßen Datenverarbeitung"
häufig zuwider läuft. Die zentrale Administration durch
die
Netzwerkverantwortlichen, die in der Regel einer
Zentralabteilung angehören, wird daher als eine Möglichkeit
gesehen, Fehlentwicklungen entgegenzuwirken.
So baut, in einem mir bekannten Fall, ein
Netzwerkadministrator sogar alle Laufwerke aus vorhandenen PC
aus, wenn sie in das Netz integriert werden, um
sicherzustellen, daß keine Fremdprogramme und -disketten
auf
den Geräten eingesetzt werden können.
16.4.2
Mängel bei der Konzeption
Die Erfahrung hat gezeigt, daß für die Einführung von DV-Systemen und somit auch von APC-Netzen eine umfassende Konzeption, die die Aspekte der Datensicherung, der allgemeinen Datensicherheit und des Datenschutzes einschließt, unerläßliche Voraussetzung ist. Dabei kann eine derartige Konzeption nicht alle in der Planungsphase ohnehin nicht im Detail bekannten Einzelfragen umfassen, aber sie muß alle grundsätzlichen Probleme und die zur Lösung notwendigen Vorgehensweisen beschreiben.
Ein Beispiel für das Fehlen eines grundsätzlichen Aspekts bei einer an sich vorhandenen Konzeption ist der folgende Fall:
Bei Prüfung einer hessischen Kreisverwaltung mußte ich feststellen, daß vor der Einführung eines Netzwerkes versäumt wurde, das Vorgehen bei der Beantragung und Zuweisung von Zugriffsrechten festzulegen. Später wurden vom Systemverwalter in Absprache mit den zuständigen Fachabteilungen die im Rahmen der Anwendung notwendigen Zugriffsberechtigungen eingetragen. Dabei wurde versäumt, sowohl die aus der Fachabteilung kommenden Bedarfsvorgaben als auch die dabei zustande gekommenen Festlegungen zu dokumentieren. Zwar hatte der Systemverwalter bei der Eintragung der Zugriffsberechtigungen einen anscheinend strengen Maßstab angelegt, aber aufgrund der fehlenden, den vereinbarten Sollzustand dokumentierenden Unterlagen war nicht nachzuvollziehen, ob die vorhandenen Eintragungen dem für die Aufgabenstellung Notwendigen entsprachen. Eine Kontrolle war somit für mich und natürlich auch für den behördlichen Datenschutzbeauftragten unmöglich.
16.4.3
Einsatz von Schutzfunktionen und Kontrollmitteln
Angesichts der eingangs geschilderten Entwicklung erscheint es mir notwendig, auf einige Details des Netzwerkbetriebssystems Novell Netware, das überwiegend zum Einsatz kommt, hinzuweisen.
Mit den neueren Versionen (3.x) von Novell Netware wurden entscheidende Schutzfunktionen realisiert. Ein Teil der schon in früheren Versionen vorhandenen Instrumente zur Regelung von Zugriffsrechten wurde nochmals verfeinert.
Im Bereich der Paßwort-Übertragung von den angeschlossenen
PC
zum Server wird eine Verschlüsselung eingesetzt, um das Abhören
der Paßwörter auf dem Netz auszuschließen. Ferner
lassen sich
durch den Einsatz verschiedener Systemfunktionen die folgenden
Zugriffsrechte (Trustee Rights) auf Verzeichnisse,
Unterverzeichnisse und Dateien anwenden:
- Read Leserecht; erlaubt bei Programmen deren Ausführung
- Write Schreibrecht
- Create zum Einrichten von Subdirectories und zum
Wiederherstellen mit DELETE gelöschter Dateien
- Erase zum Löschen von Dateien und Directories
- Access Control erlaubt das Ändern der Zugriffsrechte
ausgenommen Supervisory-Recht
- File Scan zum Sichten der Verzeichnisse
- Modify erlaubt das Ändern von Namen und Attributen
der Dateien und Directories
- Supervisory überträgt alle vorgenannten Rechte, bestimmte
Programme lassen sich nur mit dem Supervisory-Recht ausführen
oder bieten erst dann alle Optionen an.
Bei der Zuweisung dieser Zugriffsrechte muß, insbesondere beim Einrichten von Anwendungspaketen, sehr sorgfältig auf der Dateiebene geprüft werden, ob das jeweilige Recht auch wirklich benötigt wird. So mußte ich bei einer Prüfung feststellen, daß den Anwendern für alle Dateien eines Programmpakets das Modify-Recht übertragen worden war. In einer solchen Konstellati on ist es z.B. möglich, daß ein Anwender - auch ohne Absicht - Dateien umbenennt oder durch Ändern der Datei-Attribute Störungen oder Schäden verursacht.
Dieselbe Problematik gilt auch für einige Systemprogramme die einem unprivilegierten Anwender gar nicht oder nur eingeschränkt zur Verfügung stehen dürfen.
Als weiteren Schutzmechanismus können Netzwerkverwalter noch die Funktion "Intruder Detection/Lockout" aktivieren, um Einbruchsversuche in das System zu registrieren und zu verhindern. Darüber hinaus gibt es zur Kontrolle von Login-Störungen die Möglichkeit, auf das Protokoll der Netware-Utility "PAUDIT" zurückzugreifen. Über die Art und Weise der Auswertung dieser Protokolle bietet es sich an, eine Ergänzung in die Betriebsvereinbarungen mit dem Personalrat aufzunehmen.
Zu all diesen hier angesprochenen Schutzfunktionen bietet das Betriebssystem sowohl dem Netzwerkadministrator als auch dem behördlichen Datenschutzbeauftragten konkrete Hilfsmittel, die die Kontrolle der vorgenommenen Systemeintragungen erleichtern.
16.4.3.1
Einsatz des Befehls "Security"
Der Befehl Security kann nur von der Ebene SYS:SYSTEM aufgerufen
werden und listet in eine als Parameter angegebene Datei all
jene Sicherheitslücken auf, die folgenden Kriterien entsprechen:
- Kennungen (User-ID), die kein Paßwort oder unsichere Paßwörter
führen;
- Kennungen, die dem Supervisor gleichgesetzt sind (Supervisor
equivalence);
- Kennungen, die auf das "Root"-Verzeichnis Zugriffsrechte
haben;
- Kennungen, für die kein Login Script existiert;
- Kennungen, die Zugriffsrechte auf Systemverzeichnisse haben,
die über die folgenden Rechte hinausgehen:
SYS:SYSTEM (keine)
SYS:PUBLIC (read, file scan)
SYS:LOGIN (read, file scan)
SYS:MAIL (write, create).
Gerade dieser Befehl ist geeignet, dem behördlichen Datenschutzbeauftragten schnell einen Überblick über den Zustand der Systemsicherheit zu verschaffen, da er diese Auswertung auch kurzfristig immer wieder stichprobenartig von den Systemverantwortlichen anfordern kann
16.4.3.2
Kontrolle der sonstigen Zugriffsberechtigungen
Ob die von den Systemverwaltern oder von den Lieferfirmen, die in der Regel die Erstinstallation durchführen, eingetragenen anwendungsbezogenen Zugriffsberechtigungen dem notwendigen dokumentierten Zugriffsbedarf entsprechen, läßt sich im Weiteren am besten mit Funktionen in den Programmen "SYSCON" und "FILER" überprüfen, die fester Bestandteil des Netzwerkbetriebsystems sind.
Mit dem Programm SYSCON können sowohl die User-ID-bezogenen
Zugriffsrechte als auch die Gruppenzugehörigkeit und deren
Rechte eingetragen und überprüft werden. Darüber
hinaus werden
mit dem Programm alle wesentlichen weiteren Eintragungen
vorgenommen, die das Umfeld eines Users beschreiben. Dazu
gehören unter anderen:
- die "Account Restrictions" (vgl. Ziff. 16.4.3.3);
- das sog. "Login Script", mit dem für einen Anwender
bestimmte,
seine Anwendung vorbereitende Schritte festgelegt werden;
- die "Station Restrictions", mit denen für eine
Kennung nur
einzelne Arbeitsplätze (deren Netzwerkkennung) zur Benutzung
freigegeben werden;
- die "Time Restrictions", die die zeitlichen
Zugangsvoraussetzungen einer Kennung zum System festlegen.
Da ein Anwender darüber hinaus noch an anderer Stelle bestimmte Zugriffsrechte erhalten kann, ist es nötig, im einzelnen mit der Option "Who Has Rights Here" aus dem Programm FILER die Übersicht der Zugriffsberechtigungen auf Verzeichnisse und Dateien zu vervollständigen.
Zur eigenen Sicherheit wird eine Verwaltung eine derartige Überprüfung des Systemzustandes gemäß den eigenen Konzeptvorgaben in regelmäßigen Abständen durchführen und die Ergebnisse dem behördlichen Datenschutzbeauftragten zur Kenntnis geben.
Für eine direkte Auswertung des Systemzustandes sind jedoch einige grundlegende Systemkenntnisse erforderlich. Es ist daher - wie mir in einem Fall bekannt wurde - sinnvoll, neben den künftigen Systemverwaltern auch den behördlichen Datenschutzbeauftragten zu entsprechenden Schulungen zu entsenden.
16.4.3.3
Eintragungen zu den "Account Restrictions" im Programm
SYSCON
Im Submenü "User Information" des Programms SYSCON können im Menüunterpunkt Account Restrictions die wesentlichen Einstellungen vorgenommen werden, um den Einsatz der User-ID bezogenen Paßwörter wirkungsvoll zu regeln. Die einzelnen Felder sollten bei einem Standard-User in etwa folgende Eintragungen aufweisen:
Menüpunkt Einstellung Anmerkung
Account Disabled: Yes (1)
Account Has Expiration Date: No (2)
Data Account Expires: *
Limit Concurrent Connections: Yes
Maximum Connections: 1
Allow User To Change Password: Yes (3)
Require Password: Yes (4)
Minimum Password Length: 8 (5)
Force Periodic Password Changes: Yes (6)
Days Between Forced Changes: 30
Date Password Expires: *
Limit Grace Logins: Yes (7)
Grace Logins Allowed: 3
Remaining Grace Logins: *
Require Unique Passwords: Yes (8)
* Diese Werte ergeben sich aus den vorgenommenen Einstellungen und einigen vom System gespeicherten Daten. Das Betriebssystem trägt automatisch die resultierenden Werte ein.
(1)
Eine sonst vollständig beschriebene Kennung kann mit
einem
"No" an dieser Stelle deaktiviert werden. Diese Option
läßt
sich z.B. bei längerfristig beurlaubten Usern oder bei den
Sevicetechnikern der Vertragspartner sinnvoll einsetzen, um
den Mißbrauch dieser Kennungen, solange sie nicht benötigt
werden, auszuschließen.
(2)
Eine Eintragung eines "Expiration Date" kann z.B.
bei Usern
zweckmäßig sein, deren Mitarbeit zeitlich begrenzt
ist.
(3)
Der User kann sein Paßwort unabhängig vom Supervisor
selbst
bestimmen. Der Supervisor kann es zwar überschreiben, aber
nicht lesen.
(4)
Zur Benutzung dieser Kennung ist die Eingabe eines Paßwortes
unumgänglich.
(5)
Ein wirkungsvolles Paßwort muß mindestens sechs
alphanumerische Zeichen umfassen, besser sind jedoch acht
Stellen.
(6)
Durch diese Eintragung wird dem User automatisch ein
regelmäßiger, systemgeführter Paßwortwechsel
abverlangt. Der
30-Tage-Zeitraum hat sich dabei als in jeder Hinsicht
praxisgerechte Größe erwiesen.
(7)
Ein User kann den geschilderten Paßwortwechsel umgehen.
Durch die Eintragungen wird festgelgt, daß das alte Paßwort
nach Ablauf seiner Gültigkeit lediglich noch dreimal zum
Login verwendet werden kann.
(8)
Die letzten acht Paßwörter, die zu einer Kennung
verwendet
wurden, werden vom System gespeichert und sind bei einem
Paßwortwechsel nicht wieder zu benutzen.
16.4.4
Forderungen
Die beschriebenen Programme und Funktionen zeigen, daß das Netzwerkbetriebssystem Novell Netware ein umfangreiches Instrumentarium bietet, das die Netzwerkverwalter in die Lage versetzt, einige grundsätzliche Anforderungen des Datenschutzes zu realisieren. Ziel einer Verwaltung muß es sein, dieses Instrumentarium im Spannungsfeld zwischen Zugriffserfordernissen und Systemsicherheit optimal einzusetzen.
Leider verbleibt auch dann beim Einsatz von PC-Netzwerken das Problem der PC, die über eigene Festplatten- oder Diskettenlaufwerke verfügen, aber nicht mit einer Schutzsoftware ausgestattet sind (18. Tätigkeitsbericht, Ziff. 16.3.2).
Ich werde diesen Aspekt und die weitere Entwicklung von Netzwerken in den folgenden Jahren beobachten und zu einem geeigneten Zeitpunkt erneut zu diesem Thema berichten.