Drucksache 14/5555
– 78 –
Vorsicht:
Bei Verwendung vom WORM-Speichermedien ist die
Löschung der nicht mehr benötigten Daten sicherzustellen.
4. Entkopplung der IDS-Anwendung von der Systemadministration, beispielsweise in dem das IDS auf einer
abgesetzten Hardware mit eigener Administration
läuft.
5. Erstellen einer Dienstanweisung, die auch den Verfahrensablauf bei interner Missbrauchserkennung regelt.
6. Die Beteiligung der Personalvertretung/des Betriebsrates ist sicherzustellen.
8.11
BSI hilft beim Datenschutz
8.11.1 Verbesserungen im IT-Grundschutzhandbuch
Da die Informationstechnik überaus innovativ ist und sich
ständig weiterentwickelt, muss auch das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ständig aktualisiert und erweitert werden. Der aktuelle Sachstand zum IT-Grundschutz – die
neueste Version ist vom Oktober 2000 – kann über die
Seite http://www.bsi.bund.de/gshb abgerufen werden.
Mit den Empfehlungen zur Implementierung von Standard-Sicherheitsmaßnahmen bietet das IT-Grundschutzhandbuch unmittelbare Hilfe zur Umsetzung der IT-Sicherheit. Darüber hinaus stehen weitere Hilfsmittel für die
tägliche Arbeit, wie
– das BSI-Tool zum IT-Grundschutz,
– das BSI-Tool USEIT (s. Nr. 8.11..2),
– Chiasmus für Windows (s. Nr. 8.5.1),
– Formblätter z. B. für die IT-Grundschutzerhebung oder
– Muster z. B. für die Dienstanweisung des IT-Sicherheitsbeauftragten
zur Verfügung.
Mit dem IT-Grundschutztool wird die gesamte Vorgehensweise bei der Erstellung eines Sicherheitskonzepts,
der Soll-Ist-Vergleich, die Umsetzung der Maßnahmen
und die anschließende Sicherheitsrevision unterstützt.
Darüber hinaus kann aus dem Tool elektronisch auf die
Texte des Handbuchs zugegriffen werden. Ein individuell
anpassbares Berichtswesen unterstützt den IT-Sicherheitsbeauftragten dabei, IT-Grundschutz umzusetzen.
Nach § 18 Abs. 2 Satz 1 BDSG sind öffentliche Stellen
verpflichtet, ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen zu führen. Nach § 18 Abs. 2 Satz 2 haben
öffentliche Stellen eine Übersicht über ihre Dateien, nach
dem BDSG-Entwurf ihrer automatisierten Verarbeitungen zu führen. Mit Blick auf die rechtliche Verpflichtung,
diese Verzeichnisse führen zu müssen, habe ich dem BSI
empfohlen, bei der Überarbeitung des IT-Grundschutz-
Deutscher Bundestag – 14. Wahlperiode
tools Hilfen zur Erstellung dieser Verzeichnisse vorzusehen. Für die Dateienübersicht, das Verzeichnis der automatisierten Verarbeitungen sollte dabei bereits auf den
Datenkatalog des BDSG-Entwurfs abgestellt werden (s.
§ 18 i. V. mit § 4e BDSG-Entwurf).
8.11.2 Automatisierter IT-Sicherheitscheck
Immer wieder stelle ich bei Kontrollen fest, dass mit der
Vernetzung, der steigenden Anzahl von Clients und Servern im Netz die Komplexität eines Netzwerkes derart
steigt, dass eine sichere Administration nur unter Zuhilfenahme eines Software-Werkzeuges möglich ist. Für Netzwerke, die unter dem Betriebssystem Novell Netware laufen, habe ich bereits in meinem 16. TB (Nr. 33.2) über
meine Erfahrungen mit dem Einsatz eines solchen AuditTools berichtet und ihn empfohlen. Da sich zwischenzeitlich die Produktpalette im Bereich der Netzwerke um einige Unix-Produkte erweitert hat, habe ich jetzt auch den
Betrieb von Netzwerken auf Unix-Basis genauer untersucht.
Der Einsatz von Unix-Systemen bringt für den Administrator eine Menge Aufgaben mit sich, die sich von der Installation über den Betrieb bis zur Wartung und Pflege sowie den Test des Systems erstreckt. Aufgrund der
Kenntnis dieser schwierigen Situation, hat sich das BSI
vor einiger Zeit entschlossen, ein Administrationstool
zu entwickeln, das die Arbeit der Systemverwaltung
beim Einsatz von Unix-Systemen unterstützt und erleichtert. Dieses Tool – „Sichere Unix-Administration
(USEIT)“ –, das jetzt in einer stabilen Version für eine
Vielzahl von verschiedenen Unix-Systemen vorliegt,
wird leider im Bereich der Bundesverwaltung viel zu wenig genutzt. Gerade in großen Netzwerken, in denen mehrere hundert Server unter dem Betriebssystem Unix laufen, sehe ich hierfür notwendige Einsatzmöglichkeiten,
denn die Sicherheit eines Unix-Systems ist grundlegend
von der Erkennung systembedingter Sicherheitslücken
und der Nutzung der systemeigenen Sicherheitsfunktionen abhängig. Die Überprüfung, ob Grundschutz im System eingestellt ist, ist erfahrungsgemäß sehr aufwendig
und eigentlich nur automatisiert zufriedenstellend zu erreichen. Diese Aufgabe sollte deshalb einem Tool übertragen werden. Das vom BSI entwickelte Tool führt automatisierte oder manuelle sicherheitsrelevante Prüfungen
durch, die insgesamt zu einem sicheren Betrieb führen.
Schwachstellen werden analysiert und mit einer Handlungsanweisung zu deren Behebung an die Systemadministration versehen. Ferner kann mit Hilfe dieses Tools
der Schutz im Unix-System so eingestellt werden, dass
definierte Angriffe auf das System erkannt werden können. Auch in diesem Fall wird die Systemverwaltung mit
einer Liste von ausführlichen Hinweisen, wie diesen zu
begegnen ist, alarmiert.
Aufgrund meiner Anregungen wird das Tool nunmehr im
Bereich der Bundesfinanzverwaltung eingesetzt; die Bundesanstalt für Arbeit prüft derzeit noch den Einsatz. Ich
empfehle allerdings den Einsatz dieses Tools in allen
Behörden der Bundesverwaltung, in denen Unix-Systeme
verwendet werden. Das Tool unterstützt auch meine Kon-