25. Datensicherheitskonzepte
25.1
Allgemeine Anmerkungen
25.1.1
Überblick
In meinem letzten Tätigkeitsbericht Ziff. 21 habe ich auf Risiken hingewiesen, die sich aus der Abhängigkeit von einer korrekt funktionierenden Informations- und Kommunikationstechnik ergeben.
Wenn man sich im Einzelfall auf die IT-Sicherheit beschränkt, wie sie im IT-Sicherheitshandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erläutert wird, werden gesellschaftliche oder rechtliche Fragestellungen nur eingeschränkt berücksichtigt. Dort heißt es, "bei der IT-Sicherheit geht es um den Schutz der Anwendungen der Informationstechnik vor möglichen Bedrohungen, die die Verfügbarkeit der IT-Systeme und die Integrität und die Vertraulichkeit der verarbeiteten Informationen gefährden". Aber auch wenn man auf eine umfassende Aufarbeitung im Rahmen einer Technikfolgenabschätzung verzichtet, führt diese Betrachtung eines Teils des Gesamtproblems zu Forderungen, die umgesetzt werden müssen.
Bei Prüfungen mußte ich oft Mängel an technischen und organisatorischen Datenschutzmaßnahmen feststellen, die durch ein Datenschutz-/Datensicherheitskonzept hätten verhindert werden können. Ich halte es daher in aller Regel für erforderlich, ein derartiges Konzept zu erarbeiten und umzusetzen. Diese Forderung wird nicht nur von Datenschutzbeauftragten erhoben. In den "Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zum Einsatz der Informationstechnik" vom Mai 1991 heißt es unter Punkt 7.2.1: "Die zur Aufrechterhaltung der Sicherheit geeigneten Maßnahmen sind aus einer Risikoanalyse abzuleiten und in einem Sicherheitskonzept darzustellen."
Auch die Hessische Landesregierung hat in ihrer Stellungnahme zum 20. Tätigkeitsbericht (LTDrucks. 13/2651) sowie in Ihrem "Bericht zum Berichtsantrag der Abgeordneten Wilke, Hahn, Pfeil (FDP) und Fraktion betreffend Risikoanalysen und Sicherheitskonzepte für den Einsatz der Informationstechnik in der hessischen Landesverwaltung" (LTDrucks. 13/2990) die Erforderlichkeit von angemessenen Sicherheitskonzepten bzw. Sicherheitsanalysen festgestellt.
Es besteht ein weitgehender Konsens, wonach Sicherheitskonzepte erstellt werden müssen. Allerdings gibt es unterschiedliche Vorgehensweisen, wie ein Konzept entwickelt werden kann.
In der Zeitschrift KES 4.94 wurden - nicht repräsentativ - 32 Unternehmen, die Sicherheitsberatungen vornehmen, zu Leistungen und Preisen befragt. Als Vorgehensweisen wurden die (checklistengestützte) Schwachstellenanalyse, CRAMM, DDIS, MARION, Risk-Watch, Security-by-Analysis, selbstentwickelte Verfahren sowie Verfahren nach dem IT-Sicherheitshandbuch des BSI zur Auswahl gestellt. Es waren Mehrfachnennungen möglich. Spitzenreiter waren die Schwachstellenanalyse (97 %), Verfahren nach dem IT-Sicherheitshandbuch des BSI (63 %) und selbstentwickelte Verfahren (30 %).
Auf das IT-Sicherheitshandbuch des BSI möchte ich kurz eingehen, da es insbesondere für die öffentliche Verwaltung relevant ist. Für die Bundesverwaltung ist das Erstellen von Sicherheitskonzepten nach dem Vorgehensmodell des IT-Sicherheitshandbuchs vorgeschrieben. Das IT-Sicherheitshandbuch geht von einem Schutzstufenkonzept aus. Über die Ermittlung der Schutzbedürftigkeit, einer Bedrohungsanalyse und einer Risikoanalyse führt das Vorgehensmodell zum Sicherheitskonzept. Dabei werden aufbauend auf die Bedrohungs- und Risikoanalyse die erforderlichen Maßnahmen ermittelt.
Diese Vorgehensweise ist aufwendig und hat dazu geführt, daß eine Vereinfachung vorgesehen wurde. Im KBSt-Brief 2/93 wurden die Grundzüge dargestellt. Als Arbeitsgrundlage dient das IT-Grundschutzhandbuch, welches für Anwendungen mit mittlerem Schutzbedürfnis eine pauschale Bedrohungs- und Risikoanalyse voraussetzt und die in diesem Fall nötigen Maßnahmen festlegt. Das Handbuch liegt derzeit in einer ersten Version vor und soll dieses Jahr veröffentlicht werden.
25.1.2
Sicherheit am PC-Arbeitsplatz
Vor mehr als einem Jahr hat das Hessische Ministerium des Innern einen Leitfaden "Sicherheit am PC-Arbeitsplatz" bei der HZD in Auftrag gegeben. Damit sollte den Dienststellen insbesondere in übersichtlicher Form dargelegt werden, welche Sicherheitsmaßnahmen an einem PC-Arbeitsplatz mit mittlerem Schutzbedarf erforderlich sind. Diese Initiative habe ich sehr begrüßt. Während der Leitfaden erarbeitet wurde, stellte das BSI interessierten Stellen den Prototypen des IT-Grundschutzhandbuchs zur Verfügung, in dem, über das Thema des Leitfadens hinaus, z. B. auch auf UNIX-Systeme, UNIX-Netze oder TK-Anlagen eingegangen wurde. Bei dem Vergleich der beiden Vorlagen konnte man feststellen, daß das Ausgangsthema inhaltlich ähnlich angegangen wurde. Da nicht klar war, ob, wann und in welcher Form das IT-Grundschutzhandbuch veröffentlicht würde und die Darstellungen abwichen, wurde der Leitfaden fertiggestellt.
Das IT-Grundschutzhandbuch wurde im Juli 1994 in der Version 1 für die Bundesverwaltung veröffentlicht. Auf dieser Basis wurde Ende des Jahres im UA-Büroautomation des Landesautomationsausschuß (LAA) diskutiert, ob das IT-Grundschutzhandbuch des BSI oder der Leitfaden Grundlage für Datensicherheitsmaßnahmen bei PC mit mittlerem Schutzbedarf sein sollte. Als Ergebnis sollte dem LAA vorgeschlagen werden, das IT-Grundschutzhandbuch als Grundlage für Sicherheitsüberlegungen - nicht nur zu PC-Arbeitsplätzen - des IT-Managements bzw. von IT-Sicherheitsverantwortlichen zu empfehlen und den Leitfaden zu einer Hilfe für den Endanwender umzugestalten.