Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

11

Aus dem IT-Labor

11.1

Parallelbetrieb Windows NT 4.0 und Windows 2000/XP

Die letzten Jahre waren bezüglich der Betriebssysteme durch eine Monokultur geprägt. Nahezu alle Daten verarbeitenden Stellen im Lande setzten das Produkt Windows NT 4.0 ein. In Zukunft werden in den Behörden verstärkt unterschiedliche Betriebssysteme zum Einsatz kommen. Dieser Entwicklung muss unser IT-Labor Rechnung tragen.

Vor zwei Jahren haben wir damit begonnen, in unserem IT-Labor zusätzlich zu dem Referenzsystem für das Betriebssystem Windows NT 4.0 eines für das neue Betriebssystem Windows 2000/XP zu installieren. Die Maßnahme, die mit nicht unerheblichen Investitionen verbunden war (vgl. 23. TB, Tz. 10.2), ist zwischenzeitlich weitgehend abgeschlossen. Unsere Mitarbeiter simulieren auf beiden Systemen einerseits die Konfigurationen, die wir bereits in der Praxis vorfinden, andererseits werden Systemkomponenten und systemnahe Software getestet, von denen wir annehmen, dass sie künftig in der öffentlichen Verwaltung im Lande eine Rolle spielen. Derartige Produkte werden uns meist von den Herstellern oder Anbietern zur Verfügung gestellt. Außerdem steht über das Internet inzwischen ein großer Markt an Free- und Shareware bereit.

Entgegen den euphorischen Prognosen einiger Marktanalysten vollzieht sich in der Verwaltung der Übergang von dem einen auf das andere Betriebssystem bei weitem nicht so schnell wie erwartet. Das bedeutet für unsere Mitarbeiter, dass wir über einen längeren Zeitraum zweigleisig fahren müssen. Sowohl bei Prüfungen vor Ort als auch bei Beratungen und Schulungsmaßnahmen in der DATENSCHUTZAKADEMIE Schleswig-Holstein (vgl. Tz. 17) müssen wir uns ”im fliegenden Wechsel” mit beiden Systemwelten befassen. Hieraus ergibt sich praktisch eine Verdopplung unserer Investitionen in die eigene Schulung und Fortbildung. Die unter Tz. 7.2 dieses Berichtes beschriebenen Anforderungen an die Daten verarbeitenden Stellen im Lande bezüglich der personellen und finanziellen Ausstattung der Systemadministration gelten also auch für unsere Dienststelle.

In den nächsten Jahren wird sich diese Problematik noch verstärken. Die Zeiten der Betriebssystemmonokulturen dürften vorüber sein. Neben der Microsoft-Systemsoftware werden sich auch Open-Source-Produkte anderer Anbieter auf Linux-Basis auf dem Markt etablieren. Auf der Server-Ebene ist dieser Trend im Bereich der Firewall-Systeme schon sehr ausgeprägt. Eine weitere Diversifikation unseres IT-Labors und eine Verbreiterung der Wissensbasis unserer Mitarbeiter sind daher vorprogrammiert.

11.2

Neues backUP-Magazin für Windows 2000/XP in Vorbereitung

Die beiden backUP-Magazine zu den Sicherheitsmechanismen im Betriebssystem Windows NT 4.0 waren offensichtlich für die Praktiker in den IT­Stellen der Behörden im Lande so hilfreich, dass wir gedrängt werden, entsprechende Ausarbeitungen für das Betriebssystem Windows 2000/XP zu erstellen.

Für alle auf dem Markt gängigen Betriebssysteme gibt es neben den von den Herstellern mitgelieferten Handbüchern und Online-Hilfen eine sehr breite Kommentierung durch freie Spezialisten und Praktiker. Diese in der Regel sehr umfangreichen Werke sind sicherlich für professionelle Administratoren großer IT-Systeme sehr nützlich. Ganz offensichtlich befriedigen sie aber nicht die Bedürfnisse der Mehrzahl der Systemadministratoren kleinerer Verwaltungen, wie sie im Lande vorherrschend sind. Anders ist nicht zu erklären, dass die von uns herausgegebenen backUP-Magazine zum Betriebssystem Windows NT 4.0 solche Renner geworden sind. Wir nutzen sie nicht nur als Grundlage für die betreffenden Kurse der DATENSCHUTZAKADEMIE Schleswig-Holstein. Es sind auch bereits einige tausend Exemplare an die Behörden inner- und außerhalb des Landes verteilt worden (vgl. 24. TB, Tz. 11.1).

So war es nicht verwunderlich, dass wir unmittelbar nach den ersten Installationen des Betriebssystems Windows 2000/XP nach einer entsprechenden Handreichung gefragt wurden. Unser spezifischer Ansatz, Vorschläge für eine sichere und revisionsfähige Systemkonfiguration zu machen, die auch von einem ”normalen” Administrator einer durchschnittlich großen Verwaltung verstanden und umgesetzt werden können, kann also ganz offensichtlich auch bei dem neuen Betriebssystem nicht durch die Standard-Fachliteratur abgedeckt werden.

Obwohl wir sehr frühzeitig in unserem IT-Labor mit den entsprechenden Analysen begonnen haben, müssen wir die Anfrager noch mindestens bis Mitte 2003 vertrösten. Die Ursache hierfür liegt in der ”Mächtigkeit” des neuen Betriebssystems. Es hat eine Fülle von Funktionen, die - richtig genutzt - zu einem recht hohen Sicherheitsniveau führen können. Werden bestimmte Sicherheitsstrategien aber nicht konsequent durchgehalten, können leicht gravierende Sicherheitslücken entstehen. Dies alles muss zunächst getestet werden, bevor wir die von uns favorisierten Lösungen publizieren können. Uns steht für diese Arbeit neben dem Tagesgeschäft nur wenig Zeit und entsprechend ausgebildetes Personal zur Verfügung. Man darf nicht übersehen, dass dieses Projekt nicht unserer gesetzlichen Hauptaufgabe ”Kontrolle”, sondern dem Nebenauftrag ”Beratung” zuzuordnen ist.

Wie groß die Bandbreite der zu behandelnden Themen ist, zeigt sich an der Grobgliederung der in Arbeit befindlichen Broschüre:

• Migration von Windows NT 4.0 auf Windows 2000,
• Windows 2000-Grundlagen,
• Domain Name System (DNS),
• Active-Directory-Grundlagen,
• Microsoft Management Console (MMC),
• Verwaltung von Benutzer- und Gruppenkonten,
• Verwaltung von Sicherheitsrichtlinien,
• Verwaltung von Dateien und Ordnern,
• Verwendung der Überwachungsrichtlinien und Ereignisanzeigen,
• Security-Tools und Security-Informationen,
• Umgang mit Systemschwachstellen.

11.3

Mozilla - verblasst ein Stern am Browserhimmel?

Bereits im Jahr 2001 haben wir den Open-Source-Browser Mozilla ein erstes Mal unter die Lupe genommen und dabei interessante Funktionen und erfreuliche Ansätze zum Schutz der Privatsphäre gefunden. Eine neue Analyse der aktuellen Versionen lässt den einen oder anderen Fleck auf der glänzenden Oberfläche erscheinen.

Dem Nutzer bietet Mozilla (in den Versionen 1.0.0 und 1.1) die Möglichkeit, per Menü den Browser-Cache zu löschen. Diese aus Datenschutzsicht an sich zu begrüßende Option vermittelt leider nur eine trügerische Sicherheit, muss man doch feststellen, dass die Löschfunktion nur unvollständig durchgeführt wird (vgl. 24. TB, Tz. 11.5). Mozilla hat nämlich folgende Eigenheiten:

Über den Menüpunkt ”Bearbeiten/Eigenschaften” gelangt der Nutzer zu einem sich öffnenden Fenster, welches ihm viele interessante Möglichkeiten zur Konfiguration seines Browsers bereitstellt. Unter dem Ordner ”Erweitert” befindet sich der Unterordner ”Cache” mit dem Button ”Festplatten-Cache löschen”. Dem Nutzer wird kurz die Funktion eines Caches mit seinem Vorteil des Geschwindigkeitsgewinns beim erneuten Aufruf von Webseiten erklärt. Falls er sich jedoch dafür entscheidet, den Festplatten-Cache per angebotenem Button zu löschen, wird dieser nicht vollständig gelöscht. Nach Einsicht in dem recht tief in der Verzeichnisstruktur liegenden Cache-Ordner erkennt man, dass vier von Mozilla erzeugte Cache-Dateien sowie eine variable Anzahl von HTML-Files erhalten bleiben.

Die größte der vier Cache-Dateien (_CACHE_001_) beinhaltet die Historie aller besuchten Websites im Klartext, was man mithilfe eines einfachen Texteditors feststellen kann. Es werden die URLs - einschließlich der eingegebenen Suchwörter bei einer Suchmaschine - mit Besucherdatum und -zeit sowie weitere Logdaten innerhalb eines nicht vorhersagbaren Zeitraums erfasst. Der Sinn dieser Datei ist leicht erklärt: Der Browser muss entscheiden, ob er eine Datei neu laden muss oder sie aus dem Cache abrufen kann. Nach der Anforderung einer URL vergleicht er das Datum der angeforderten Datei mit dem Datum der Datei derselben URL aus seinem Cache, falls diese dort schon vorhanden ist. Damit der Browser nicht jedes Mal eine angeforderte Datei in seinem Cache öffnen muss, um ihr Datum auszulesen, wird eine Datei (_CACHE_001_) erzeugt, in der alle wichtigen Daten von den besuchten und zwischengespeicherten Websites abgelegt sind. Der Browser benutzt dann diese Daten in _CACHE_001_, um einen Vergleich durchzuführen. Das hat einen erheblichen Geschwindigkeitsgewinn zur Folge. Allerdings lassen sich aus diesen Daten auch sehr schnell Surfprofile von einzelnen Personen erstellen.

Zusätzlich bleiben trotz des Löschens eine unbestimmte Anzahl von HTML-Files erhalten. Einige enthalten vollständige Websites, während andere nur den Code für Frames einer Website beinhalten. Nach ersten Beobachtungen war nicht zu erkennen, nach welcher Gesetzmäßigkeit diese HTML-Files vom Löschen verschont bleiben. Diese Resistenz ist unabhängig von der Größe der Datei, dem Zeitpunkt ihres Aufrufs oder ihrem Inhalt. Die Files, welche vollständige Websites enthalten, lassen sich natürlich mit einem Browser aufrufen und liefern ein recht anschauliches Ergebnis über die Surfvorlieben des Nutzers.

Sicherlich bleibt dem Nutzer die Möglichkeit, den Cache-Ordner manuell zu löschen. Dazu muss er sich aber (unter Windows 2000) erst den folgenden langen Pfad entlanghangeln:

C:\Dokumente und Einstellungen\

  Nutzername\

    Anwendungsdaten\

      Mozilla\

        Profiles\

          Profilname\

            Zufallsbezeichnung.slt\

              Cache\.

Dort kann er dann händisch alle Dateien löschen. Der weniger geübte Nutzer wiegt sich allerdings in Sicherheit, nachdem er den Button ”Festplatten-Cache löschen” gedrückt hat.

Dass auch von Mozilla vorgesehen war, alle Dateien im Cache zu löschen, lässt sich daran erkennen, dass die oben genannten vier Cache-Dateien bei Nichtvorhandensein von Mozilla neu erzeugt werden. Somit ist zu hoffen, dass in den folgenden Versionen des Open-Source-Browsers (Release 1.2 war für Ende 2002 angekündigt) dieser Mangel behoben sein wird.

11.4

Knoppix: Open Source im Westentaschenformat

Das Open-Source-Betriebssystem Linux ist immer mehr Menschen ein vertrauter Begriff, jedoch scheuen sich viele noch davor, es einmal auszuprobieren, da der Installationsaufwand zu hoch erscheint. Mit ”Knoppix” ist diese Hemmschwelle beiseite geräumt.

Bei Knoppix handelt es sich um eine Linux-Variante, die Office- und Internet-Anwendungen fertig installiert mitbringt, die sich von CD-ROM starten lässt und daher keine lokale Installation auf dem Rechner erfordert. Knoppix erkennt die Hardware automatisch und schreibt keine Daten auf die Festplatte, sondern nur in den Arbeitsspeicher des Rechners.

Neben dem reinen Ausprobieren von Linux ergeben sich daher noch weitere Anwendungszwecke. Denn da es sich bei der CD um ein nicht beschreibbares Medium handelt, besteht keine Gefahr, dass Nutzer absichtlich oder aus Versehen Änderungen vornehmen und den Rechner damit längere Zeit außer Gefecht setzen. Zudem lassen sich aufgrund der beschriebenen Funktionsweise auch Arbeitssitzungen realisieren, die keine Datenspuren auf dem PC hinterlassen. Knoppix wurde in unserem IT-Labor getestet und kommt nun auch als Rettungs- und Analysesystem zum Einsatz, wenn ein Rechner nicht mehr so will, wie unsere Techniker es gerne hätten.

Erhältlich ist Knoppix entweder als CD-Image zum kostenlosen Download bei http://www.knopper.net/knoppix/ , als Beigabe zu PC-Zeitschriften oder per Postversand. Ende 2002 hatte auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Versand von Knoppix-CDs angeboten. Dieser Service musste zwar zwischenzeitlich wieder eingestellt werden, jedoch verweist das BSI auf seinen Webseiten immer noch auf das Download-Angebot.

11.5

TCPA & Palladium

Immer mehr Bürgerinnen und Bürger wenden sich an uns mit Fragen zum Thema TCPA und Palladium. Sie fürchten um die Hoheit über die Daten auf ihren PCs. Während diese Thematik in der Öffentlichkeit bisher nur am Rande wahrgenommen wird, gewinnt sie für die Schwerpunktthemen - Datenschutz und Informationsfreiheit - zunehmend an Bedeutung.

Bei TCPA handelt es sich um die Trusted Computing Platform Alliance, einen von Compaq, HP, IBM, Intel und Microsoft gegründeten Zusammenschluss, dem sich inzwischen ca. 200 weitere Firmen angeschlossen haben. Ziel dieses Zusammenschlusses ist es, eine ”vertrauenswürdige” Rechnerplattform durch Erweiterung der Hardware um eine TCPA-Komponente zu ermöglichen. Palladium ist eine Softwarekomponente, die Microsoft in kommende Windows-Versionen integrieren will. Sie soll auf TCPA aufsetzen und weitere Funktionen wie z. B. eine digitale Rechtekontrolle (Digital Rights Management, DRM) für Software und Inhalte bereitstellen.

Das Prinzip der schon auf den ersten Hauptplatinen zu findenden TCPA-Komponenten ist dabei recht simpel: Sobald der PC gestartet wird, überprüft die TCPA-Komponente anhand einer gespeicherten Liste, die per Internet von einem zentralen TCPA-Server aktualisiert werden kann, sowie anhand von digitalen Zertifikaten das System (Hardware, Software) auf dessen Vertrauenswürdigkeit. Ist diese gegeben, wird die Kontrolle an eine entsprechende Komponente des Betriebssystems (bei Microsoft Palladium) übergeben. Nach diesem Muster soll gewährleistet werden, dass ein einmal als ”vertrauenswürdig” anerkanntes System nicht von Viren oder Angreifern manipuliert wird. Nutzerinnen und Nutzer sollen sich auf ihr System verlassen können.

Nicht nur dies hört sich gut an. In der Tat führen die Befürworter von TCPA und Palladium viele Argumente an, die bereits seit Jahren von Datenschützern propagiert werden, wie z. B. die prüfbare Authentizität elektronischer Kommunikation durch Einsatz von starker Kryptographie.

Die Besorgnis der Bürgerinnen und Bürger bleibt dennoch nachvollziehbar, denn mit dem Einsatz von TCPA respektive Palladium wird ein großer Teil der Entscheidungsfreiheit bezüglich der auf dem eigenen Rechner stattfindenden Prozesse abgegeben. Da die Zertifikate, mittels derer sich eine Software im System authentisieren kann, einen bis zu sechsstelligen Betrag kosten sollen, dürfte eine Zertifizierung für Open-Source-Produkte indiskutabel sein. Sie werden auf TCPA-konformen Systemen (sprich: dem ”Aldi-PC” der nächsten Jahre) nicht mehr laufen. Die Verwendung von Open-Source-Software ist jedoch aus Sicht von Datenschutz und Informationsfreiheit zu bevorzugen.

Des Weiteren werden mittels TCPA-Mechanismen sämtliche Nutzerdaten, also auch selbst erstellte Dokumente usw., verschlüsselt. Das erscheint zunächst sehr erfreulich, denn so kommen Außenstehende nicht an die Dokumente, selbst wenn sie am selben Rechner sitzen. Allerdings ist es mehr als fraglich, ob die Regierungen dieser Welt und deren Sicherheitsbehörden diese standardmäßig aktivierte Verschlüsselung ebenfalls wünschen. Es ist daher davon auszugehen, dass sich entsprechende Hintertüren für (amerikanische) Nachrichtendienste in der Implementierung wieder finden werden. Vom Einsatz von Kryptographieprodukten, die Hintertüren für wen auch immer enthalten, ist hingegen dringend abzuraten. Der Einsatz eines derartigen Produktes in der öffentlichen Verwaltung wäre nicht verantwortlich.

So begrüßenswert es ist, bei der Arbeit mit persönlichen Daten ein System zu verwenden, das nur zertifizierte und garantiert manipulationsfreie Software zulässt, so unvereinbar ist es auch mit dem Recht auf informationelle Selbstbestimmung, wenn die Instanz, die diese relevanten Zertifikate erstellt, nicht frei gewählt werden kann. Letztlich nützt einem auch das beste Zertifikat im Zweifelsfall nichts. Ein (für viel Geld) jeweils aktuell zertifizierter Browser mit deutlichen Sicherheitsmängeln hat trotz des Zertifikats nun einmal Mängel im Bereich der Sicherheit. Die zu vermutende Entwicklung beeinträchtigt aber die Freiheit der Anwenderinnen und Anwender, bei erkannten Mängeln auf ein besseres - aber unzertifiziertes - Konkurrenzprodukt umzustellen.

Bisher gibt es so gut wie keine unabhängigen Informationen oder Erfahrungsberichte bezüglich des Einsatzes von TCPA, zudem befinden sich die Spezifikationen in einer permanenten Fortschreibung. Unsere Mitarbeiter verfolgen und analysieren daher die Entwicklung, damit wir fundiert Stellung beziehen und den Bürgerinnen und Bürgern Informationen liefern können.