22. Tätigkeitsbericht (2000)



9

Aus unserem IT-Labor

9.1

Überblick

Wer die Technik nicht von vornherein als Feind begreift, sondern das Motto "Datenschutz durch Technik” als Chance ansieht, mit cleveren Technologien mehr Datenschutz und Datensicherheit zu bewirken, dem wird ein IT-Labor beim Datenschutzbeauftragten nicht ungewöhnlich vorkommen. Dort kommt Informationstechnik (IT) auf den Prüfstand, um zu analysieren, welche Bedrohungen für das Recht auf informationelle Selbstbestimmung bestehen könnten und mit welchen Maßnahmen man sich selbst schützen kann.

Im Vordergrund steht immer das Ziel, die Technik besser einschätzen zu können und Empfehlungen für ihren Einsatz zu geben. Dazu werden typische Szenarien aufgebaut. Einige Firmen stellen ihre Produkte zu Testzwecken eine Zeit lang kostenlos zur Verfügung. Wichtige Ergebnisse werden an die Hersteller zurückgemeldet, um z. B. Fehler zu beseitigen oder zu einer Weiterentwicklung im Sinne des Datenschutzes beizutragen. Damit ist das IT-Labor ein wichtiger Baustein für den neuen Datenschutz.

Angefangen hat das IT-Labor als kleiner Raum voller verschiedener Rechner mit unterschiedlichen Betriebssystemen, teilweise vernetzt, teilweise auch speziell ausgestattet, z. B. mit Chipkartenlesegerät oder Online-Zugriff. Da es mit mehreren Personen in diesem Raum zu eng wurde, gerade wenn viel geschraubt und umkonfiguriert werden musste, entwickelte sich ein "virtuelles IT-Labor”. Dies bedeutet, dass in den Dienstzimmern der Techniker gesonderte Computer für IT­Untersuchungen zur Verfügung stehen, die wiederum teilweise mit anderen IT­Labor-Rechnern vernetzt sind. In den folgenden Abschnitten stellen wir einige Ergebnisse aus dem IT-Labor vor.

9.2

Safer surfen!

Internet-Surfer sind zum Lustobjekt der Datenschnüffler geworden. Um sich selbst vor derlei Begierden zu schützen, reichen oft schon kleine Änderungen in den Standard-Einstellungen der benutzten Software. In der Reihe "Safer surfen!” werden hierfür Tipps gegeben.

Browser nennt man die Programme, mit denen sich Inhalte des Internet auf dem heimischen Rechner darstellen lassen. Schaut man sich einmal an, welche Programm-Einstellungen eine Standard-Installation der bekannteren Browser Netscape Communicator oder Microsoft Internet Explorer hervorbringt, so stellt man fest, dass schon mit wenigen Handgriffen einiges mehr zum Schutz der eigenen Daten getan werden kann.

Nach dem Erfolg des Faltblattes "Verschlüsseln - ich?” (vgl. 21. TB, Tz. 7.1.3), das den Nutzern des Netzes die Verschlüsselung ihrer Kommunikation mit PGP erleichtern sollte, haben wir in Kooperation mit dem Europäischen Verbraucherzentrum erneut ein Faltblatt in der Reihe "Safer surfen!” und eine dazugehörige Präsentation im Internet veröffentlicht. Darin werden nicht nur die Schritt-für-Schritt-Anleitungen bereitgehalten, sondern auch Software für weitergehende Schutzmaßnahmen vorgestellt.

http://www.datenschutzzentrum.de/selbstdatenschutz/

Für die Anleitungen wurden in unserem IT-Labor die Konfigurationsmöglichkeiten der Browser von Netscape und Microsoft detailliert begutachtet. Es zeigte sich schnell, dass die Standard-Einstellungen bei beiden Produkten in punkto Schutz der Privatsphäre alles andere als vorbildlich sind, unabhängig davon, ob es um Cookies, um aktive Inhalte oder um spezielle Browser-Funktionen ging. Der IT-Labor-Test hat auch gezeigt: Ohne Zusatz-Software ist eine vollständige Kontrolle der Daten, die der Browser über den Nutzer preisgibt, nicht möglich.

Die positive Resonanz auf das Angebot "Safer surfen!” ist groß. Die Faltblätter werden ständig angefordert, und die Serviceseite ist gut besucht. Auch die zu dem Thema eingehenden E-Mails (auch PGP-verschlüsselt möglich) zeigen, dass die Nachfrage nach Serviceinformationen im Rahmen des neuen Datenschutzes groß ist.

9.3

Privacy-Tools

Datenschutz im Internet? Spezielle Programme sollen helfen. Bei einigen steht aber mehr Datenschutz drauf, als drin ist.

Immer häufiger wird das Internet nicht nur zum Vergleichen von Preisen und Angeboten, sondern auch zum elektronischen Einkauf verwendet. Beim Kaufen sind persönliche Daten wie Adresse und Zahlungsmodalitäten (z. B. Kreditkartennummer) oft unabdingbar. Viele Firmen möchten ihre Webangebote individuell auf den Kunden zuschneiden und sammeln hierfür Daten: Ein Reiseveranstalter möchte beispielsweise die vom Kunden bevorzugten Fluggesellschaften anbieten, ein Buchhändler ihm den neuesten Titel seiner Lieblingsautorin präsentieren, eine Internet-Suchmaschine ihm eine persönlich zugeschnittene Oberfläche anbieten. Dazu muss der Kunde bei einem erneuten Besuch der Website vom System wiedererkannt werden.

Für diese "personalisierten Angebote” sind die persönlichen Daten des Benutzers in der Regel nicht erforderlich - es ist lediglich die Wiedererkennung wichtig. Hierfür werden häufig so genannte Cookies verwendet - dies sind kleine Dateien auf dem Computer des Kunden, die beim Aufruf einer Webadresse dem Server übermittelt werden und anhand derer ein Besucher identifiziert werden kann. An Stelle dieser "Kekse” werden auch Benutzerkonten verwendet, die die Eingabe eines Benutzernamens und eines Passwortes verlangen. Mit diesem Konto identifiziert der Server die einzelnen Benutzer und richtet sein Angebot auf deren Vorlieben ein. Häufig verlangt der Webanbieter die Eingabe von Namen und E-Mail-Adressen, obwohl sie für die Wiedererkennung eines Benutzers gar nicht benötigt werden. Auch Marketing-Umfragen werden gerne mit der Einrichtung eines Kontos verbunden. Wenn man seinen wirklichen Namen nicht nennen möchte, kann man durch die Eingabe von Fantasienamen selbst eine Pseudonymisierung durchführen. Sie bietet aber keinen umfassenden Schutz, da man mit technischen Mitteln meist den Urheber herausfinden kann.

Anders sieht die Situation beim Kauf von Produkten im Internet aus - hier will man schließlich, dass die Ware im eigenen Briefkasten landet, und muss daher bei der Kontoeröffnung die richtigen Daten angeben. Die Abrechnung erfolgt meistens über Kreditkarten, deren Nummer ebenfalls in ein Formular eingetragen werden muss. Aus Sicherheitsgründen sollte man darauf achten, dass die Übertragung nur verschlüsselt erfolgt - oder die Kartennummer lieber telefonisch, per Fax oder Brief übermitteln.

Während in Deutschland die Nutzung von Konsumentendaten gesetzlich stark beschränkt ist, unterscheidet sich die Situation in anderen Staaten ganz erheblich. Auf US-amerikanischen Websites kann man häufig seine Daten gegen die angebotenen Dienstleistungen "verkaufen” - nach dem Motto: "Gibst du mir deine Daten, bekommst du mein Webangebot oder mein Programm” (vgl. Tz. 2). Andererseits verpflichten sich die Webanbieter in einer Privacy Policy häufig selbst zu einem verantwortungsvollen Umgang mit den Daten, der aber ganz verschieden ausgestaltet sein kann - vom totalen Verzicht auf die Nutzung für Werbezwecke bis zu weit reichender Übermittlung an "befreundete” Webanbieter. An dieser Stelle setzen so genannte Privacy-Tools an. Dies sind kleine Programme mit zwei Zielrichtungen: Zum einen speichern sie persönliche Daten des Benutzers wie Name, Adresse, Telefon- und Kontonummern, um automatisch Webformulare für den Benutzer auszufüllen und ihm so den Kauf per Internet so bequem wie möglich zu machen. Ob die Daten zentral auf einem Server oder lokal auf der Festplatte des jeweiligen Benutzers gespeichert werden, hängt vom verwendeten Programm ab, ebenso, ob die Datenübertragung verschlüsselt erfolgt oder nicht.

Zum Zweiten unterstützen sie den Benutzer beim Schutz seine Privatsphäre. Diese Schutzfunktion reicht von der Suche derjenigen Website eines Anbieters, auf der dieser seine Privacy Policy darstellt, bis hin zu einer Filterfunktion: Zunächst gibt der Benutzer in einem Profil seine Vorstellung von Privatsphäre ein - von der Stufe "Datenschutz ist mir egal” bis zu "Ich will keinerlei Übermittlung”. Das Privacy-Tool vergleicht dieses Wunschprofil mit der Privacy Policy des Webanbieters und warnt gegebenenfalls, wenn diese nicht übereinstimmen. Anderenfalls werden die Webformulare automatisch ausgefüllt.

Das Hauptanliegen dieser Programme liegt eindeutig in einer korrekten und vollständigen Datenübermittlung bei einer Internet-Bestellung, an der die Anbieter besonders interessiert sind. Der Schutz der Privatsphäre ist zweitrangig. Insofern sind diese Programme eher "Bequemlichkeitstools” als "Datenschutz-Tools”. Dass eine Funktion mit der Bezeichnung "Schutz der Privatsphäre” angeboten wird, zeigt allerdings das wachsende Interesse der Konsumenten an der vertraulichen Behandlung seiner Daten.

Ein Beispiel ist das Internet-Protokoll P3P (Platform for Privacy Preferences), das mittlerweile in der Standardisierung weit fortgeschritten ist und vermutlich demnächst auch in gängigen Browsern zum Einsatz kommen wird (vgl. 21. TB, Tz. 7.1.4). Auch hier sind jedoch noch nicht alle Probleme gelöst, doch eines ist sicher: Der Einsatz von P3P entbindet die Anbieter nicht von ihren Rechtspflichten nach dem Multimedia-Gesetzen. Wir arbeiten mit bei der Standardisierung durch das World Wide Web Consortium.

Einige der Privacy-Programme haben wir in unserem IT-Labor näher daraufhin unter die Lupe genommen, ob offensichtliche Sicherheitslücken bestehen. Einmal konnte beispielsweise das konfigurierte Nutzerprofil auf einfache Weise von anderen Rechnern aus manipuliert oder ausgelesen werden. Ein Mitschneiden der vom Nutzerrechner übertragenen Daten ergab, dass in bestimmten Fällen zusätzlich zu den dokumentierten Informationen weitere Daten, z. B. personenbezogene Computer- oder Teilnehmerinformationen, transportiert wurden. Dies haben wir der amerikanischen Herstellerfirma zurückgemeldet, die den Fehler sofort in der nächsten Version behoben hat.

Neben Anforderungen der Datensicherheit testen wir im IT-Labor auch die Bedienfreundlichkeit, da der Nutzer bei mangelhaften Benutzungsoberflächen oft Fehler mit Auswirkungen auf seinen Datenschutz machen kann. Dies beinhaltet die Prüfung, ob eine datenschutzfreundliche Konfiguration bei der Installation voreingestellt ist und ob die Informationen aus der Online-Hilfe oder Dokumentation verständlich sind. Unsere Tests zeigen, dass gerade bei der Transparenz der Systeme - eine zentrale Datenschutzforderung - noch viel nachgebessert werden muss.

9.4

Praxistests für neue Betriebssysteme

Sicherheitslücken in Betriebssystemen können nur selten durch technische oder organisatorische Maßnahmen "geheilt” werden. Praxistests sind unverzichtbar. Kritik an bestehenden Systemen befruchtet die Entwicklung besserer Produkte.

Als vor einigen Jahren die ersten Client-Server-Systeme ihren Einzug in die Behörden hielten, stellte man sehr schnell fest, dass ihre Flexibilität mit einem schwer zu bewältigenden Administrationsaufwand verbunden war. Kleine Organisationseinheiten mit 20 bis 30 Mitarbeitern mussten aus ihren Reihen jemanden rekrutieren, der sich mit bis zu fünf verschiedenen Betriebssystemen (bzw. betriebssystemnahen Programmen) auskannte. Die Steuerung der zentralen Rechner (Server) und die der Arbeitsplatzrechner (Clients) erfolgte nämlich durch unterschiedliche Betriebssysteme. Als das erste universell einsetzbare Betriebssystem für kleinere Client-Server-Systeme angeboten wurde, haben wir dies in unserem IT-Labor einem Praxistest unterzogen und waren mit die Ersten, die zum Einsatz von Windows NT in den Fällen geraten haben, in denen aus anwendungsspezifischen Gründen nicht das Betriebssystem Unix zur Anwendung kommen musste. Einer großen Anzahl von Systemadministratoren hatten wir zwischenzeitlich in der DATENSCHUTZAKADEMIE oder in Beratungsgesprächen Tipps zur sinnvollen Gestaltung der in diesem Betriebssystem enthaltenen Sicherheitskomponenten gegeben (vgl. Tz. 9.6). Leider enthält auch Windows NT konzeptionelle Schwachstellen. Diese liegen insbesondere im Bereich der Software- und Datenverwaltung auf der Ebene der Arbeitsplatzrechner.



Deshalb befassen wir uns zurzeit intensiv mit einem neuen Angebot auf dem "Betriebssystemmarkt” mit der Bezeichnung "Windows NT-Terminal-Server”. Dessen Konzept besteht darin, nicht nur die gesamte Software- und Datenverwaltung, sondern auch die Verarbeitungsprozesse vom Client auf den Server zu verlagern. Die Arbeitsplatzrechner werden als schlichte Eingabe-, Darstellungs- und Ausgabegeräte billiger. Die Server müssen allerdings größer ausgelegt werden als bisher. Wenn das neue System tatsächlich das hält, was die Anbieter versprechen, könnte hierin ein wesentlicher Fortschritt für Client-Server-Systeme in kleineren Behörden liegen. Wir werden unsere Testergebnisse unmittelbar nach Abschluss der Untersuchungen veröffentlichen und entsprechende Schulungen in der DATENSCHUTZAKADEMIE anbieten.

9.5

Das Beste aus den Gegebenheiten machen

Die derzeit in den Behörden standardmäßig eingesetzten Hard- und Softwarekomponenten sind unter Sicherheitsaspekten nicht als optimal zu bezeichnen. Die Datensicherheit kann aber verbessert werden, wenn man deren Potenzial voll ausnutzt. Wie das geschehen kann, demonstrieren wir an einem Referenzsystem.

Die Macht des Faktischen ist größer, als man vielfach annimmt. Bei der Auswahl von Betriebssystemen und Standardsoftwarepaketen lassen sich die Behördenleitungen beileibe nicht immer von der "reinen Datenschutz- und Datensicherheitslehre” leiten. Das hat zur Folge, dass besonders kostengünstige, als "modern” geltende oder von den Lieferanten favorisierte Produkte dominant sind. Ein klassisches Beispiel ist die Windows-Software der Firma Microsoft.

Nun hilft es nicht, über andere, bessere Kaufentscheidungen zu philosophieren, die installierte Hard- und Software befindet sich im täglichen Einsatz. Die ihr innewohnenden Sicherheitsrisiken gilt es so weit wie möglich zu verringern. Deshalb haben wir ein Referenzsystem konfiguriert, das weitgehend den Installationen entspricht, die wir bei unseren Prüfungen vor Ort vorfinden. Dieses System haben wir so sicher gemacht, wie es auch jeder Behörde (mit Bordmitteln) möglich ist. Ziel ist nicht die aus der Sicht von Profis bestmögliche, sondern die "machbare” Sicherheit für den Hausgebrauch.

Ein gutes Dutzend Problemlösungen haben wir realisiert. Dabei geht es z. B. um die Vermeidung von Dateileichen in den Ablageverzeichnissen, die Verhinderung der Installation nicht freigegebener Software durch die Benutzer, die Vermeidung von Vireninfektionen. Wir werden dieses System künftig im Rahmen unserer Öffentlichkeitsarbeit präsentieren, die Sicherheitseffekte vorführen und insbesondere interessierten Behördenleitern eine Dokumentation an die Hand geben, die sie ihren EDV-Verantwortlichen mit der Frage vorlegen können: "Der Datenschutzbeauftragte hat gesagt, diese Sicherheitsmaßnahmen seien in jedem Fall realisierbar, haben wir das auch gemacht?”

9.6

Datensicherheit läßt sich nicht am grünen Tisch trainieren

Ohne speziell konfigurierte Schulungsrechner würden sich unsere Sicherheitsberatungen darin erschöpfen, Passagen der einschlägigen Handbücher zu verlesen. Datensicherheit lässt sich aber nicht am grünen Tisch trainieren.

Der Inhalt gesetzlicher Regelungen und ihre praktischen Auswirkungen lassen sich in der Regel leidlich mittels bedrucktem Papier, Schaubildern und schriftlichen Ausarbeitungen darstellen. Die Funktionsweise von Hardwarekomponenten, Betriebssystemen und sonstiger Software analysieren zu wollen, ohne ein funktionsfähiges Rechnersystem benutzen zu können, erweist sich dagegen sehr schnell als ein hoffnungsloses Unterfangen. Will man zudem ganz bestimmte Effekte ausprobieren, muss das Testsystem entsprechend vorkonfiguriert sein und bei einem Misslingen des Versuches schnell wieder in den Urzustand zurückversetzt werden können.



Bei der Darstellung von Datensicherheit in der DATENSCHUTZAKADEMIE oder im Rahmen von Beratungen vor Ort sind wir deshalb darauf angewiesen, die speziellen Schulungssysteme selbst mitzubringen. Dies ist leichter gesagt als getan. Nicht alle Fallgestaltungen sind auf ein- und demselben System darstellbar, weil die unterschiedlichen Konfigurationen oft nicht miteinander kompatibel sind. Außerdem erfordern die in immer kürzeren Abständen auf den Markt kommenden Softwareprodukte nahezu selbstverständlich auch größere Hardwarekapazitäten. In vielen Fällen genügt es auch nicht, die betreffenden Verfahrensweisen durch unsere Mitarbeiter zu demonstrieren und die Ergebnisse an die Wand zu projizieren. Der anzustrebende Workshop-Charakter unserer Fortbildungsveranstaltungen lässt sich am besten dadurch erreichen, dass die Teilnehmer selbst aktiv werden und alternative Lösungsmöglichkeiten ausprobieren können. Deshalb erweitern wir derzeit unsere Schulungsrechner vom Einplatz- auf Mehrplatzsysteme. Der damit verbundene hohe finanzielle und personelle Aufwand ist unvermeidlich, wenn wir im Rahmen unserer Beratungen den Bedürfnissen der Praxis gerecht werden wollen.




Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel