Deutscher Bundestag – 17. Wahlperiode
3.5.1
57 –
–
–– 57
Datendiebstahl – verhindern,
erschweren, entdecken
Daten – ob personenbezogen oder nicht – sind begehrt
und stellen ein Handelsgut dar. Betroffene Stellen ergreifen oft erst dann Maßnahmen zur „Data Leakage Prevention“, wenn sich ein Datendiebstahl ereignet hat.
Ende 2012 wurde im Bundesministerium der Gesundheit
ein schwerer Datendiebstahl bekannt, bei dem mutmaßlich ein Administrator seine Befugnisse missbraucht hat.
Die Ermittlungen laufen noch. Bereits im 15. TB
(Nr. 30.7) hatte ich auf die „Allmacht“ des Systemverwalters hingewiesen und verschiedene Maßnahmen empfohlen, um dessen Arbeiten kontrollierbar und transparent
zu machen, damit entsprechende Missbrauchsfälle überhaupt entdeckt und nachgewiesen werden können. Aus
gegebenem Anlass möchte ich nochmals eine Reihe von
Punkten auflisten, die helfen können, eine Datendiebstahl
zu erschweren oder zumindest frühzeitig zu entdecken.
Bei allen hier genannten Maßnahmen und besonders beim
Einsatz von speziellen Data Leakage Prevention-Systemen sind immer auch Fragen des Beschäftigtendatenschutzes (vgl. Nr. 13f.) zu berücksichtigen.
Privilegierte oder administrative Berechtigungen umfassen weitergehende Zugriffsberechtigungen auf IT-Sys-
Drucksache 17/13000
teme, Softwarekomponenten oder Daten, als arbeitstäglich erforderlich sind. Grundsätzlich sollten umfassende
(privilegierte) Berechtigungen nur solchen Rollen, Gruppen oder Personen zugewiesen werden, die überwiegend
mit der Administration von IT betraut sind. Die Zugehörigkeit der Mitglieder einer Gruppe muss nachweisbar
und revisionssicher dokumentiert sein; bei Änderung der
Tätigkeiten müssen die Berechtigungskonzepte aktualisiert werden. Berechtigungskonzepte sollten bei Aktualisierung der Sicherheitskonzepte (mindestens jährlich) auf
Plausibilität und Notwendigkeit überprüft werden. Zudem wird empfohlen, die Systemprotokolle, die die Arbeit der Administratoren dokumentieren, regelmäßig zu
überprüfen. Weiter rege ich an, die einschlägigen IT-Sicherheitsempfehlungen aus den Grundschutzkatalogen
des BSI zu beachten und umzusetzen (vgl. Kasten zu
Nr. 3.5.1)
Sicherheitsvorfälle, die auf krimineller Energie beruhen,
lassen sich trotz aller erdenklichen Sicherheitsmaßnahmen nicht verhindern. Das Risiko einer Entdeckung kann
einzelne Täter abschrecken. Um Manipulationen früh zu
entdecken und den unerwünschten Abfluss von Daten zu
begrenzen, sollten im IT-Betrieb Kontrollmaßnahmen
(spontan und periodisch) durchgeführt werden.
K a s t e n z u N r. 3 . 5 . 1
Folgende Sicherheitsempfehlungen des IT-Grundschutzes beschäftigen sich mit dieser Thematik:
– Funktionstrennung: Die Aufgabenverteilung und die hierfür erforderlichen Funktionen (vgl. M 2.5 Aufgabenverteilung und Funktionstrennung) sind so zu strukturieren, dass operative und kontrollierende Funktionen auf verschiedene Personen verteilt werden, um Interessenskonflikte bei den handelnden Personen zu minimieren oder
ganz zu verhindern.
– Rollen: Die Zuordnung von Personen oder Personengruppen zu Rollen erleichtert die Verwaltung von Berechtigungen (vgl. M 2.8 Vergabe von Zugriffsrechten).
– Restriktive Rechtevergabe: Werden an Mitarbeiter besonders weitgehende Rechte vergeben (z. B. an Administratoren), so sollte dies möglichst restriktiv erfolgen (vgl. M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle). Hierbei ist zum einen der Kreis der privilegierten Benutzer möglichst einzuschränken und zum anderen
sind nur die für die Durchführung der Arbeit benötigten Rechte zu vergeben. Für alle Aufgaben, die ohne erweiterte Rechte durchgeführt werden können, sollten auch diese privilegierten Benutzer unter einer Kennung mit
Standardrechten arbeiten. Insbesondere bei Aushilfskräften und externen Dienstleistern ist darauf zu achten, dass
diese nur die Dienste verwenden und nur auf die Daten zugreifen dürfen, die sie tatsächlich benötigen.
– Erforderlichkeitsprinzip („Need to know“): Durch Anwendung des Need to Know Prinzips und des Vier Augen
Prinzips ist sicherzustellen, dass Berechtigungen auf den verschiedenen Ebenen (z. B. Zutritt zu Räumen, Zugang
zu Informationssystemen) zielgerichtet vergeben werden und auch praktikabel sind (vgl. M 2.6 Vergabe von Zutrittsberechtigungen und M 2.7 Vergabe von Zugangsberechtigungen).
– Vertrauenswürdigkeit des Personals: Bei sicherheitskritischen Betriebsumgebungen empfiehlt es sich, die Mitarbeiter auf die besonderen Datenschutz- und Sicherheitsvorgaben zu verpflichten und die Vertrauenswürdigkeit bestätigen zu lassen (vgl. M 3.33 Sicherheitsüberprüfung von Mitarbeitern). Besonderes Gewicht ist hierbei auf die
Vertrauenswürdigkeit von Personen mit besonderen Funktionen und Berechtigungen zu legen (vgl. M 3.10 Auswahl eines vertrauenswürdigen Administrators und Vertreters). Um Mitarbeiter entsprechend ihrer Qualifikationen und Kompetenzen einsetzen zu können, sollte es ein Personalkonzept geben (vgl. M 3.51 Geeignetes Konzept
für Personaleinsatz und -qualifizierung). Dazu gehört die Analyse sicherheitsrelevanter personeller Faktoren (vgl.
M 3.83).
BfDI 24. Tätigkeitsbericht 2011-2012