Kernpunkte:
- BYOD
- Browser
- Schnittstellen
10 Aus dem IT-Labor
10.1 Bring Your Own Device
Die Bereitschaft zum Einsatz privater IT-Geräte im beruflichen Arbeitsumfeld steigt, wobei auf Arbeitgeber- und auf Arbeitnehmerseite unterschiedliche Interessen bestehen.
In der Verwaltung von Kommunen wie auch von Landesbehörden existieren Pilotprojekte, die es Beschäftigten ermöglichen sollen, dienstliche Datenverarbeitung auf privaten Geräten durchzuführen. Unter „Bring Your Own Device“ (BYOD) werden verschiedene Szenarien mit unterschiedlichen Motivationen zusammengefasst. Für Beschäftigte besteht die Chance, die Vielzahl der zu bedienenden Geräte einzuschränken und dabei sogar den persönlichen Markenpräferenzen zu folgen. Für Arbeitgeber besteht die Aussicht auf verbesserte, ja permanente Erreichbarkeit der Bediensteten, sinkende IT-Investitionskosten und schnelle Reaktionsmöglichkeiten auf Hard- und Softwareanforderungen.
Arbeitgeber müssen stets im Auge behalten, dass sie datenschutzrechtlich die volle Verantwortung für dienstliche Datenverarbeitung tragen. Diese Verantwortung in Bezug auf die Integrität, die Verfügbarkeit und die Vertraulichkeit ihrer Daten nimmt zu, wenn nicht mehr nur auf den IT-Geräten und in den Räumlichkeiten des Arbeitgebers Datenverarbeitung erfolgt, sondern auch auf privaten IT-Geräten und im privaten Umfeld der Arbeitnehmerinnen und Arbeitnehmer. Ein angemessener Schutz der Daten kann nicht allein durch organisatorische Maßnahmen wie Dienstanweisungen oder vertragliche Vereinbarungen zum ordnungsgemäßen Umgang mit den Daten und Geräten erreicht werden. Eine BYOD-Strategie mit einem Konzept und technischer Hinterlegung ist erforderlich, wobei – vor dem ersten BYOD-Einsatz – die Zugriffsrechte, -wege und -bedingungen verbindlich und kontrollierbar festgelegt werden.
Die zentrale Frage ist: Wie sollen die Arbeitnehmer auf unsere Daten zugreifen? Der Arbeitsaufwand, der Investitionsbedarf und der Regelungsaufwand erhöhen bzw. verringern sich abhängig danach, ob die privaten Geräte direkt ins Behörden- bzw. Unternehmensnetzwerk eingebunden werden sollen, ob Verbindungen über das Internet zustande kommen sollen, die Daten auf den Geräten gespeichert oder über Terminallösungen lediglich angezeigt werden sollen. Den Einsparungen bei IT‑Investitionen kann zum Teil ein erheblich erhöhter Betreuungsaufwand sowie Investitionen in die Infrastruktur gegenüberstehen. Hierfür ist von Bedeutung, wie breit das unterstützte Produktspektrum gefasst wird und welche Serviceleistungen der IT-Bereich für die Nutzenden bieten soll. Zu berücksichtigen sind grundsätzlich das Management der Softwarelizenzen, individuelle Hilfestellungen bei Installation und Konfiguration der Geräte und Kompatibilitätsprüfungen.
Wie sollen welche Arbeitnehmer auf welche Daten zugreifen? Es gilt den Schutzbedarf der Daten zu bestimmen. Sind sie eventuell aufgrund von Amts-, Berufs- oder Geschäftsgeheimnissen besonders zu schützen oder handelt es sich um datenschutzrechtlich sensible Daten, dann sind besondere Sicherheitsmaßnahmen geboten. Möglicherweise eignen sich die Daten nicht für eine wirtschaftlich abbildbare Speicherung und Verarbeitung auf privaten Geräten. Meist geht die Idee von BYOD Hand in Hand mit mobiler Arbeit bzw. Heimarbeitsplätzen. Hierfür bestehen im Allgemeinen bereits Konzepte und Regelungen, auf denen aufgebaut werden kann.
Die sicherste Umsetzung von BYOD ist, wenn hierauf nicht gänzlich verzichtet werden soll, die Realisierung einer Terminallösung, bei der die Daten über eine sichere Verbindung lediglich auf dem privaten Gerät angezeigt werden. Hierbei behält der Arbeitgeber alle Möglichkeiten der Kontrolle: Die Daten werden weiterhin nur intern gespeichert und verarbeitet. Die Zugriffsberechtigungen können jederzeit gelöscht und die Verbindungsversuche von fremden oder tatsächlich bzw. potenziell infizierten privaten Geräten können technisch unterbunden werden.
Werden betriebliche bzw. dienstliche Daten direkt auf den privaten Geräten gespeichert, sind ein strenges Löschkonzept und klare Regelungen bezüglich der Zugriffsrechte des Arbeitgebers unumgänglich. Ähnlich wie vom Arbeitgeber zugelassene private E-Mails am Arbeitsplatz sind die privaten Daten und E-Mails auf den privaten Geräten für den Arbeitgeber tabu. Sie dürfen durch ihn weder gelesen noch gelöscht werden. Neben den zu beachtenden herkömmlichen Löschfristen sind insbesondere für die Fälle des Gerätewechsels, des Geräteverlustes und des Personalabgangs geeignete organisatorische Regelungen sowie technische Maßnahmen nötig. Hierbei kann nicht immer auf die Kooperation der Arbeitnehmer gesetzt werden. Ein Fernlöschen des gesamten Datenbestands auf dem privaten Gerät durch den Arbeitgeber wäre zumeist eine massive Grenzüberschreitung.
Das ULD berät bei einigen Projekten auf Ebene der Landes- und Kommunalverwaltung. Hierbei zeigt sich, dass auf technischer und auf organisatorischer Ebene eine Vielzahl an Maßnahmen zu treffen sind, die unerfahrene Stellen überfordern können. Das ULD bietet hier seine Mitarbeit bereits frühzeitig in der Planungsphase an, um Fehlinvestitionen zu vermeiden und ein angemessenes Datenschutz- und Sicherheitsniveau sicherzustellen.
10.2 Browsersicherheit – aktuelle Empfehlungen
Webbrowser lösen an vielen Stellen spezielle Programme oder Fachverfahren ab. Viele Systeme werden heutzutage nur noch über eine Weboberfläche bedient. Webbrowser sind mittlerweile unverzichtbar. Zugleich sind sie häufig durch Sicherheitslücken ein Datenschutzrisiko.
Der Browsermarkt ist vielfältig wie noch nie. Als Konkurrenz zum weitverbreiteten Internet Explorer hat sich neben Firefox Google Chrome etabliert. Für die Anwenderinnen und Anwender bedeutet dies, dass eine reale Wahlmöglichkeit besteht. Hinsichtlich Funktionalität und Geschwindigkeit haben Firefox und Chrome den Internet Explorer momentan hinter sich gelassen. Aus Datenschutzsicht ist insbesondere die Möglichkeit interessant, diese Browser mit Erweiterungen auszustatten. Datenschutzfördernde Erweiterungen können z. B. Schutz vor Nutzerverfolgung im Netz, dem sogenannten Tracking, bieten oder das Identitätsmanagement erleichtern.
Sicherheitslücken in der Browsersoftware sind hochkritisch, da sich diese Programme in ständigem Austausch mit fremden, nicht vertrauenswürdigen Servern befinden können. Derartige Lücken sind so schnell wie möglich zu schließen. Dazu ist der Anwender auf den Browserhersteller angewiesen. Microsoft hat sich zu einem monatlichen „Patch Day“ entschlossen. Fehlerbehebungen werden einmal monatlich ausgeliefert. Zwar können besonders kritische Fehler auch kurzfristig außerhalb dieses Termins behoben werden; die Regel ist jedoch der monatliche Patch Day. Mozilla und Google liefern ihre Browser-Updates ohne festen Zeitrahmen aus. Das ermöglicht einerseits eine verzögerungsfreie Reaktion auf Bedrohungen, stellt andererseits jedoch die IT-Administration in Unternehmen und Behörden vor größere Herausforderungen bei Test und Freigabe neuer Programmversionen. Alle Browser weisen spezifische Sicherheitslücken auf. Daher ist es wichtig, bei der Wahl des Browsers auf eine schnelle Reaktionszeit des Herstellers zu achten und im Falle einer bekannten, aber noch nicht behobenen Sicherheitslücke vorübergehend einen anderen Browser zu verwenden.
Weitere Sicherheitsprobleme rühren nicht vom Browser direkt, sondern von Erweiterungen oder Plugins her. Erweiterungen sind insofern unproblematisch, als sie sich schlicht deaktivieren lassen, ohne die Browsernutzung grundlegend zu beeinflussen. Plugins hingegen sind oft systemweit installiert, sodass eine Installation für alle verwendeten Browser zum Einsatz kommt. Die bekanntesten Vertreter sind hier Flash- und Java-Plugins, die regelmäßig durch zum Teil gravierende Mängel auffallen. Hier hilft ein Wechsel des Browsers wenig, stattdessen muss Java in jedem verwendeten Browser deaktiviert werden. Um die Angriffsfläche durch Sicherheitslücken so gering wie möglich zu halten, empfiehlt es sich, die Zahl von Plugins in System und Browser möglichst zu reduzieren bzw. standardmäßig alle vorhandenen, aber nicht benötigten Plugins zu deaktivieren. Patches und Aktualisierungen sind umgehend einzuspielen. Für den Fall einer bekannten, aber aktuell nicht behobenen Sicherheitslücke sollte ein Alternativbrowser auf dem System vorgehalten werden, dessen Benutzung bei Bedarf vorübergehend verpflichtend ist.
Was ist zu tun?
IT-Sicherheits- und Datenschutzbeauftragte müssen darauf achten, dass das Patch- und Update-Management der datenverarbeitenden Stelle die verwendeten Browser und die installierten Plugins umfasst. Aus Sicht des ULD ist ein automatisiertes Patch- und Update-Management auch für Browsererweiterungen zwingend erforderlich.
10.3 Schnittstellensicherheit
Jeder Arbeitsplatzrechner verfügt über eine Vielzahl an Schnittstellen. Über USB-Schnittstellen können mobile Geräte wie Handys oder Datenspeicher wie USB-Sticks oder Festplatten angeschlossen werden. Hierüber kann es zum nicht erlaubten Abfluss von personenbezogenen Daten kommen. Häufig kann man diese Schnittstellen bereits mit Bordmitteln absichern.
Über offene Schnittstellen (USB, CD/DVD-Laufwerke o. Ä.) können in Server-Client-Umgebungen sensible Daten mithilfe von mobilen Datenträgern (USB-Sticks, externe Festplatten, CDs/DVDs usw.) aus dem geschützten internen Netz in andere ungeschützte Netze oder auf einen ungeschützten PC übertragen werden. Nicht nur der Abfluss sensibler personenbezogener Daten, also der Verlust von Vertraulichkeit, Integrität und Verfügbarkeit, sondern auch der Zufluss von unerwünschten Daten und Dateien kann ein Sicherheitsrisiko darstellen.
Bisher hat das ULD für die Schnittstellensicherheit – vor allem für die Server-Client-Umgebungen Windows 2000 Server/Windows 2000 Professional und Windows Server 2003/Windows XP – eine Empfehlung für externe Softwarelösungen ausgesprochen, da diese Betriebssystemversionen noch über keine komfortable Möglichkeit der Schnittstellenkontrolle mit Bordmitteln verfügten. Im Gegensatz dazu bieten externe Softwarelösungen eine zentralisierte Administration aller Schnittstellen aller Server und Clients in einem Netzwerk. So kann z. B. eine USB-Schnittstelle von einem bestimmten Client im Netzwerk für einen bestimmten Scanner freigeschaltet werden, während die anderen Clients diesen Scanner nicht nutzen können. Oder es werden dienstliche USB-Sticks zur Benutzung freigeschaltet, die dann zum Datentransfer verwendet werden dürfen, während fremde USB-Sticks an dieser USB-Schnittstelle nicht akzeptiert werden.
Mit der Server-Client-Umgebung Windows Server 2012 und Windows 7 bzw. Windows 8 können die Schnittstellen auch mit Bordmitteln verwaltet werden. Die hierfür notwendigen Einstellungen lassen sich jedoch nur dann umfassend in einer Server-Client-Umgebung einsetzen, wenn auch auf allen Servern und allen Clients diese Betriebssystemversionen installiert sind. Sobald es sich um eine gemischte Umgebung handelt, dann werden nicht auf allen Maschinen die gleichen Richtlinien angewendet; das bedeutet unter Umständen, dass einige Maschinen keiner Schnittstellenkontrolle unterliegen. Aus diesem Grund empfiehlt das ULD zur Schnittstellensicherheit folgendes Vorgehen:
- Die datenverarbeitende Stelle sichert die Schnittstellen ihrer Server und Clients in ihrer Netzwerkumgebung aktiv ab (aktive Schnittstellenkontrolle). Damit wird ein unkontrolliertes Abfließen von vertrauenswürdigen Daten bzw. ein unkontrolliertes Einfließen von externen Daten verhindert.
- Die aktive Schnittstellenkontrolle kann durch verschiedene Maßnahmen realisiert werden. So kann bei einer aktuellen Windows Client-Server-Umgebung z. B. mit Bordmitteln oder in gemischten Umgebungen mit externen Softwarelösungen gearbeitet werden. Eine spezielle Softwareempfehlung wird das ULD nicht aussprechen.
- Die aktive Schnittstellenkontrolle muss gewährleisten, dass alle offenen Schnittstellen gesperrt werden. Schnittstellen, die für die Aufgabenstellung benötigt werden, müssen explizit durch die entsprechend verantwortliche Person freigegeben werden. Diese Freigabe muss technisch im System abgebildet und dokumentiert werden.
Das ULD weist darauf hin, dass die aktive Schnittstellenkontrolle, wie sie hier beschrieben wird, nur die Hardware-Schnittstellen und -Laufwerke absichert. Das Risiko des Abflusses von personenbezogenen Daten per E-Mail, durch Heraufladen in das Internet, Erstellen von Screenshots o. Ä. muss gesondert betrachtet und insbesondere durch organisatorische Maßnahmen geregelt werden. Das ULD stellt für diesen Themenkomplex im Internet eine Handreichung zur Verfügung.
https://www.datenschutzzentrum.de/schnittstellenkontrolle/
10.4 Windows Server 2012 und Windows 8
Die aktuellen Client- und Server-Betriebssysteme des Herstellers Microsoft ermöglichen ein deutlich höheres Sicherheitsniveau. Vor allem die verbesserten Möglichkeiten zur zentralen Konfiguration und Überwachung der Endgeräte sollten durch datenverarbeitende Stellen genutzt werden. Veraltete Betriebssysteme stellen ein zunehmendes Sicherheitsrisiko dar.
In einigen Verwaltungen und Betrieben in Schleswig-Holstein werden immer noch mittlerweile stark veraltete Betriebssysteme eingesetzt. Dies kann im Jahr 2013 zu konkreten Sicherheitsproblemen führen. Zugleich bleibt diesen Stellen eine Vielzahl an Funktionen vorenthalten, die die tägliche Arbeit deutlich erleichtern. Im Rahmen einzelner Kontrollen hat das ULD noch Serversysteme auf der Basis von Windows NT 4 angetroffen. Diese Systeme werden seit 2004 nicht mehr von Microsoft unterstützt und stellen ein erhebliches Sicherheitsrisiko dar. Auch Systeme auf der Basis von Windows 2000 Server werden seit 2005 nicht mehr von Microsoft unterstützt. Systeme auf der Basis dieser stark veralteten Betriebssystemversionen müssen schnellstmöglich abgelöst werden. Das ULD beanstandet den Betrieb derartig veralteter Infrastrukturen.
Microsoft hat für Windows Server 2003 und Windows XP bereits in den Jahren 2009 und 2010 das Bereitstellen von Sicherheitsupdates und Fehlerbehebungen eingeschränkt und wird derartige Aktualisierungen nur noch bis zum Jahr 2014 und 2015 anbieten, soweit erweiterte Wartungsverträge abgeschlossen wurden. Datenverarbeitende Stellen sollten für diese mittlerweile veralteten Systeme im Jahr 2013 ein Projekt zur Migration auf aktuellere Plattformen einplanen.
Neben den Sicherheits- und Datenschutzaspekten ergeben sich durch die Migration auf aktuelle Betriebssystemversionen auch deutliche Vorteile für den Betrieb der Systeme. Aktuelle Betriebssystemversionen bieten
- Funktionen zur automatisierten Installation und Konfiguration,
- Funktionen zur zentralen, richtlinienbasierten Konfiguration,
- Möglichkeiten zur zentral administrierten, vollständigen Festplattenverschlüsselung,
- Möglichkeiten, externe Schnittstellen zu kontrollieren,
- Funktionen, um eine zentrale Protokollierung und ein zentrales Berichtswesen aufzusetzen, um die Anforderungen beispielsweise der Datenschutzverordnung (DSVO) automatisiert umzusetzen.
Das ULD hat die aktuellen Sicherheitsfunktionen von Windows Server 2012 und Windows 8 getestet und bereits in mehreren Schulungen für Administratorinnen und Administratoren vermittelt. Es zeigt sich: Mit Kenntnis der neuen Funktionen und einer vorausgehenden, umfangreichen Planung kann neben einem angemessenen Sicherheits- und Datenschutzniveau auch eine wirtschaftlichere Datenverarbeitung erreicht werden.
Das ULD bietet allen Stellen in Schleswig-Holstein seine Unterstützung bei der Planung von Migrationsprojekten an, um Aspekte eines wirtschaftlichen, sicheren und datenschutzkonformen IT-Betriebs zu berücksichtigen. Administratorinnen und Administratoren sollten sich über Schulungen rechtzeitig fortbilden. Neben den einschlägigen Schulungsangeboten der Hersteller und den in Schleswig-Holstein vertretenen Schulungsanbietern bietet das ULD spezielle Datenschutz- und Sicherheitskurse in der DATENSCHUTZAKADEMIE an.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |