Deutscher Bundestag – 14. Wahlperiode
– 77 –
weitgehend einheitlichen Produktspektrum und einer
im wesentlichen einheitlichen Verzeichnisstruktur
(gleiche/ähnliche Angriffsziele, der Angreifer weiß wo
er welche Lücken findet).
n
n
n
n
Sicherheitsaspekte werden bei der Entwicklung von
Softwareprodukten nicht in ausreichendem Maße beachtet.
Hohe Fehlerrate bei Neuentwicklungen (Bananenprodukte = reifen beim Kunden)
Billige Shareware mit hohem Verbreitungsgrad (und
Unterhaltungswert) führen zur einer leichten Verbreitung von „Hilfsprogrammen“ (Ausspionierung).
Browser-Plug-In-Technik (Plug-In sind Erweiterungen
für den Browser, um z. B. Grafikformate oder Videoclips anzeigen zu können) reizt zum ungeprüften Übernehmen von neuen Features.
n
Effektivität der Hacker steigt.
n
Publikationen von Angriffen nehmen ständig zu.
n
Angriffe setzen nicht mehr Fachwissen voraus, sondern den Besitz von Angriffsskripten und/oder Hackund Cracksoftware.
Der Erfolg eines IDS hängt häufig zum großen Teil von der
Quelle der Daten zur Intrusion-Erkennung, der Qualität der
Daten und der Speicherdauer der Datensammlungen ab.
Aus datenschutzrechtlicher Sicht sind die Datenquellen
und deren Qualitäten von besonderer Bedeutung. Als
Datenquellen kommen dabei in Frage:
n
n
n
Auditdaten aus den Systemkomponenten wie Betriebssystem, Firewallsysteme, Anwendungsprogrammen etc.
Wer hat sich angemeldet?
Gibt es Schutzverletzungen und wenn ja, welcher Art?
Wer greift wann auf welche Daten?
Welche Programme werden gestartet?
Betriebsmittelvergabe durch das Betriebssystem
Prozessor-Auslastung
Anzahl der Netzverbindungen
Art der Netzverbindungen
Netzwerkprotokoll und Nutzungsdaten
Quell- und Zieladresse einer Verbindung
Welche Protokolle werden verwendet?
Der eigentliche Verarbeitungsprozess in einem IDS wird
in der Datenanalyse durchgeführt. Die am Markt erhältlichen Produkte lassen sich dazu in folgende zwei Kategorien einteilen:
1. Missbrauchserkennungssysteme:
Ähnlich wie bei Virenscannern werden hier die Auditdaten mit Blick auf bekannte typische (Angriffs-) Muster analysiert, d. h. die vorhandenen Auditdaten werden
auf ein bestimmtes vorhandenes und bekanntes Angriffsmuster untersucht. Hierfür ist Voraussetzung,
dass die Angriffsmuster hinreichend bekannt und beschrieben sind, das IDS die Muster beispielsweise in
Drucksache 14/5555
einer Datenbank zugänglich gespeichert hat und die
Datenbank manipulationssicher ist.
2 Anomalieerkennung:
Jeder Angriff erzeugt nach einer gewissen Zeit ein atypisches Systemverhalten, wodurch ein Angriff letztendlich erkannt wird. Das Abweichen eines Systems
von einem Normalzustand setzt allerdings voraus, dass
der Normalzustand eines Systems bekannt ist. Die Erkennung des Normalzustandes erfolgt dabei auf der
Basis eines statistischen (das System ermittelt den
Normalzustand aus den Systemparametern CPU-Auslastung, Seitenwechselrate etc.) und eines logischen
Ansatzes (anhand von zeitlichen Abfolgen von Ereignissen wird der Normalzustand festgehalten).
Weicht das System vom Normalzustand ab, führt dies zu
einem IDS-Alarm. Der Einsatz von ID-Systemen steckt
noch in den Kinderschuhen, so dass bislang kaum Erfahrungswerte vorliegen. Grundsätzlich kann man aber feststellen, dass der Erkennungsaufwand mit der Effektivität
der Angriffe steigt.
Die Datenschutzprobleme ergeben sich aufgrund der notwendigen umfangreichen Speicherung von Protokolldaten. Die einschlägigen Rechtsnormen sind § 14 Abs. 4
BDSG für den öffentlichen Bereich und in § 31 BDSG für
den nicht-öffentlichen Bereich (= Privatwirtschaft). Beide
Vorschriften bestimmen die Zweckbindung von Protokolldaten zur Datenschutzkontrolle, zur Datensicherung
oder zur Sicherstellung eines ordnungsgemäßen Betriebes
einer Datenverarbeitungsanlage. So sind nach Nr. 6 der
Anlage zu § 9 Satz 1 BDSG bei der automatisierten Verarbeitung von personenbezogenen Daten beispielsweise
Maßnahmen zu treffen, die geeignet sind „zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen
zur Datenübertragung übermittelt werden können.“ Diese
Vorschriften des BDSG müssen bei Inbetriebnahme eines
IDS herangezogen werden. Man könnte sich nämlich auf
den Standpunkt stellen, dass die Rohdaten für die Komponente „Datensammlung“ eines IDS im gewissen Umfang erhoben und gespeichert werden dürfen, um auch
den Anforderungen nach § 9 BDSG zu entsprechen. Ich
empfehle beim Einsatz von IDS-Systemen folgende Maßnahmen zu beachten:
1. Personenbezogene Auditdaten sind nur solange wie absolut notwendig zu speichern und umgehend nach der
Nutzung zu löschen.
2. Nutzungsdaten sind unbedingt zu pseudonymisieren.
Das Verfahren muss geeignet und sicher sein. Die RePseudonymisierung sollte nur unter 4-Augen-Prinzip
stattfinden können. Aufgedeckte Pseudonyme dürfen
nicht mehr verwendet werden.
3. Authentizität der Audit- und Nutzungsdaten ist sicherzustellen. Dies kann zum einen durch die Zertifizierung des IDS erfolgen, zum anderen durch den Einsatz
von sicherer Hardware (beispielsweise WORM-Medien) und digitalen Signaturen.