In einer Studie zur Informationssicherheit, die von den Unternehmen PricewaterhouseCoopers und InformationWeek vorgenommen wurde (Ausgabe 17-18/99 der InformationWeek), wurden die Antworten von über 2700 IT-Managern und Sicherheitsverantwortlichen aus 49 Ländern ausgewertet. Ein Ergebnis der Studie war u.a. eine Übersicht über die ergriffenen Abwehrmaßnahmen.

Es ist auffallend, dass es zwischen dem Einsatz von Intrusion Detection Systemen (IDS oder ID-Systeme) in Deutschland und weltweit die größten Unterschiede gibt. Die Antwort auf eine weitere Frage, wie die Verantwortlichen von einer Sicherheitsverletzung erfahren haben, lässt ebenfalls aufhorchen.

Die Zahlen lassen darauf schließen, dass ID-Systeme gut geeignet sind, um die Sicherheit der IT-Installationen zu erhöhen. Angesichts der Zahlen gehe ich davon aus, dass die Zahl der Installationen und die Bedeutung von ID-Systemen in Deutschland in den nächsten Jahren zunehmen wird. Gleichwohl sollten ID-Systeme nicht isoliert von anderen Bausteinen zur Verbesserung der IT-Sicherheit gesehen werden. Sie gehören zusammen mit einer Firewall, Systemen zur Kontrolle von Kommunikationsinhalten (Virenschutz, Blockieren von aktiven Inhalten usw.), zur Verschlüsselung und zur Authentisierung zu den Komponenten, die Netzwerke absichern helfen.

ID-Systeme können je nach technischem Ansatz Eindringversuche erkennen, während sie stattfinden, oder sie weisen im Nachhinein erfolgreiche Angriffe nach. Es lassen sich drei Funktionsweisen unterscheiden.

Die erste Funktionsweise, zu der Produkte auf dem Markt verfügbar sind, orientiert sich an bekannten Angriffsmustern und den dazugehörigen Merkmalen, an denen sie erkannt werden können. Dazu untersucht das ID-System laufend den Kommunikationsverkehr in einem Netzwerk und die Abläufe auf den zugehörigen Rechnern.

Es erfolgt ein Abgleich zwischen Protokollen und einer Datenbank, in der zu möglichen Angriffen die Merkmale hinterlegt sind. Hier gibt es eine Analogie zu Virenscannern. Das IDS reagiert entsprechend den Vorgaben (Policy) auf erkannte Vorfälle. Die Güte des Systems steht und fällt mit den in der Musterdatenbank gespeicherten Merkmalen, da nur auf bekannte Strukturen reagiert werden kann. Dieser Ansatz erlaubt es, Eindringversuche festzustellen, während sie stattfinden.

Eine weitere Funktionsweise besteht darin, unzulässige Veränderungen an Dateien zu erkennen. Die Erfahrung hat gezeigt, dass erfolgreiche Angriffe mit Änderungen an Systemdateien und an bestimmten anderen Stellen einhergehen. Bei diesem Verfahren werden die Dateien definiert, die kontrolliert werden sollen. Zu jeder Datei werden mehrere Hashwerte erzeugt. Zu vorgegebenen Zeitpunkten werden dann zu den Dateien wieder die Hashwerte berechnet. Weichen die errechneten und die alten Hashwerte von einander ab, so ist das ein Hinweis auf einen möglichen Angriff. Bei dieser Methode werden Angriffsversuche hingenommen. Man kann aber feststellen, ob Attacken stattgefunden haben. Es gibt Produkte, die diesen Ansatz verfolgen.

Eine dritte Funktionsweise, zu der mir keine marktgängigen Produkte bekannt sind, basiert auf der Idee, das Verhalten von Benutzern oder Systemen zu registrieren. Es wird Alarm geschlagen, wenn Abweichungen von dem bisherigen Verhalten auftreten. Der Vorteil dieses Ansatzes liegt darin, dass auch ein Angriff mit unbekanntem Muster erkannt wird. Hierdurch findet eine laufende Verhaltenskontrolle statt.

ID-Systeme können auch danach klassifiziert werden, an welchen Stellen Informationen gewonnen werden und wo Komponenten installiert werden müssen. Man unterscheidet netz- und hostbasierte Systeme.

Die netzbasierten Systeme greifen wie ein Netzscanner auf den Datenstrom zu, der im Rahmen der Kommunikation in einem Netz stattfindet. Die dort übertragenen Datenpakete werden analysiert. Auch wenn die Daten in der Regel keine Benutzerkennungen, sondern die Netzwerkadressen der Rechner umfassen, handelt es sich doch um personenbezogene Daten, da vom Rechner auf die Person geschlossen werden kann. Die gespeicherten Daten lassen folglich Rückschlüsse auf die Tätigkeit von Mitarbeitern zu.

Viele Netzwerke sind in kleine und kleinste Teilnetze aufgegliedert, die jeweils nur die für das Teilnetz bestimmten Datenpakete erhalten. Die Komponenten, die dies bewerkstelligen, sind sogenannte Switche. In einem derartigen Netzwerk gibt es außer bei den Switchen selbst keine Stelle, an der die Kommunikation von mehr als einem Teilnetz abgehört werden kann. Ein Zugriff auf die Daten muss sich daher auf die Switche konzentrieren, die oft keine entsprechenden Schnittstellen haben. Ein weiterer Flaschenhals entsteht durch das große Datenvolumen, das kontrolliert werden muss. Bei Netzen mit hohen Datenraten kann es schwierig sein, die Daten in Echtzeit zu verarbeiten. Eine Auswertung von Daten mehrerer Teilnetze erfordert also eine vorherige Filterung. Schließlich sind meist Rechner mit unterschiedlichen Betriebssystemen vernetzt. Bei der Definition der Angriffsmuster kann es Probleme geben, da ein Systemverhalten in einem System normal, im anderen Fall als Angriff zu werten ist.

Hostbasierte Systeme nutzen bei den derzeit verfügbaren Systemen die bereits systemseitig vorhandenen Protokolldaten. Dabei werden u.a. Benutzerkennungen und Aktionen erfasst. Die Alarmierungs- und Auswertungskomponente ist hier der wesentliche Vorteil eines IDS.

Die ausgewerteten personenbezogenen Daten sind entweder Protokolldaten, die auf Rechnern zur Datenschutzkontrolle oder zur Systemkontrolle gespeichert wurden, oder Daten, die als Ergebnis der Filterung des gesamten Datenverkehrs im Netz angefallen sind. Der Einsatz darf nur zu dem Zweck erfolgen, die Sicherheitsziele aus § 10 Abs. 2 HDSG zu erreichen, insbesondere die Benutzerkontrolle und die Datenverarbeitungskontrolle.

Die Kehrseite der Systeme liegt darin, dass aus den Daten Aussagen zur Leistung oder zum Verhalten von Beschäftigten und anderen berechtigten Nutzern abgeleitet werden können. Vor allem wenn Verhaltensprofile zu Personen erstellt werden, wie es das dritte Funktionsprinzip explizit vorsieht, entstehen laufend fortgeschriebene Bestände an sensiblen Daten. Aus datenschutzrechtlicher Sicht ist die Zweckbindung dieser Daten besonders wichtig. Für die von ID-Systemen erzeugten und ausgewerteten Daten findet die spezielle Zweckbindungsregelung des § 13 Abs. 5 HDSG Anwendung.

Die Verarbeitung von Mitarbeiterdaten wird durch § 34 Abs. 6 HDSG stark eingeschränkt. Danach dürfen Daten der Beschäftigten, die im Rahmen der Durchführung der technischen und organisatorischen Maßnahmen nach § 10 Abs. 2 gespeichert werden, nicht zu Zwecken der Verhaltens- oder Leistungskontrolle ausgewertet werden. Für Zwecke der Strafverfolgung können die Daten allerdings genutzt werden.

Die datenschutzrechtlichen Vorgaben müssen durch technische und organisatorischen Maßnahmen umgesetzt werden. Eine Maßnahme besteht darin, gezielte Auswertungen nach Personen nur nach dem 4-Augen-Prinzip vorzunehmen und festzulegen, wie der Personalrat und der behördliche Datenschutzbeauftragte in das Verfahren eingebunden sind.

Bei ausreichender Sicherheit gegen Leistungs- und Verhaltenskontrollen gibt es keine datenschutzrechtlichen Hindernisse gegen den Einsatz. Im Gegenteil. Als Teil eines Gesamtsystems können ID-Systeme die Sicherheit bei der Verarbeitung von Daten verbessern und damit auch den personenbezogenen Datenschutz fördern.

Informationen zu technischen Details und Anforderungen können beispielsweise beim BSI abgerufen werden.:
www.bsi.bund.de

Inhalt, <=, =>,