Suchen

Data Loss Prevention Keine Gesetzeslücken, keine Sicherheitslücken

| Redakteur: Gerald Viola

Mitarbeiterrichtlinien zur Verwendung von mobilen Speichergeräten und regulative BIOS-Einstellungen auf den Behördenrechnern reichen dem bayerischen Staatsministerium der Justiz nicht, um den Einsatz von USB-Sticks, CD-ROMs und DVDs sicherheitstechnisch zu regeln.

Firmen zum Thema

Riegel. Das bayerische Staatsministerium der Justiz in München reguliert den Umgang mit Speichergeräten per Whitelist-Technologie
Riegel. Das bayerische Staatsministerium der Justiz in München reguliert den Umgang mit Speichergeräten per Whitelist-Technologie
( Archiv: Vogel Business Media )

Das bayerische Staatsministerium der Justiz in München stellt sehr hohe Anforderungen an die IT-Sicherheit. Schließlich schreibt beispielsweise die Projektgruppe eGovernment im Bundesamt für Sicherheit in der Informationstechnik (BSI) für Behörden zwingend vor, Sicherungsmaßnahmen zu entwickeln und Restrisiken abzuschätzen, um im Ergebnis einen datenschutzgerechten Technikeinsatz zu erreichen. „Öffentliche Stellen des Bundes und der Länder haben grundsätzlich vor Einführung einer eGovernment-Anwendung zu prüfen, ob die mit der automatisierten Verarbeitung verbundenen Risiken für die Rechte der Betroffenen wirksam beherrscht werden können“, steht im „eGovernment-Handbuch“.

Diese Risikoabschätzung ist insbesondere dann erforderlich, wenn sensitive Daten verarbeitet werden. Angesichts der sich permanent verändernden Struktur der Datenhaltung ist das keine leichte Aufgabe.

Zentrale oder verteilte Datenbestände

Denn Verwaltungsabläufe fußen zunehmend auf Informationen, die elektronisch gespeichert und übertragen werden. In der modernen Verwaltung basieren die täglichen Arbeitsprozesse nicht mehr ausschließlich auf einzelfallbezogenen Aktenstücken, die als Originale in den bearbeitenden Organisationseinheiten weitergereicht werden. Stattdessen laufen die täglichen EDV-Aktivitäten der Justizverwaltung beispielsweise über zentrale oder verteilte Datenbestände in elektronischen Datenspeichern mit Zugriffsmöglichkeiten für die berechtigten Stellen. Die gewollte Beschleunigung der Arbeitsprozesse und die hohe Verfügbarkeit der Informationen haben allerdings zur Folge, dass auch der Verlust von Daten leichter möglich ist. Ohne entsprechende Sicherheitsmaßnahmen könnte die funktionsreiche und sich stets wandelnde Kommunikationstechnik zum Sicherheitsrisiko werden. Zwar sind die Informationen ohne technische Hilfsmittel nicht einsehbar und ihre inhaltliche Richtigkeit nicht ohne Technik prüfbar. Es ist aber auch nicht ohne Weiteres nachvollziehbar, in welcher Weise, zu welchem Zweck und von wem elektronische Informationen weiterverarbeitet wurden.

Ein mögliches Risiko in Unternehmen und Behörden können außerdem die Mitarbeiter selbst sein, wenn sie die neuen Kommunikationstechnologien in vollem Umfang gebrauchen. Durch externe Geräte, die per USB-Anschluss mit dem Netzwerk verbunden sind, können beispielsweise Daten gestohlen oder Schadcode in das Netzwerk eingespeist werden.

Weiter

Nur erlauben, was erlaubt ist

Dabei muss man noch nicht einmal von einem pessimistischen Menschenbild ausgehen. Häufig sind solche Sicherheitsverletzungen keine böse Absicht, sondern Unvorsichtigkeit und Unwissenheit der Mitarbeiter spielen eine größere Rolle. Es gibt keine Gewähr, dass der vom heimischen Familien-PC mitgebrachte USB-Stick neben harmlosen Daten nicht auch Viren, Würmer, Spyware und andere Schadsoftware enthält.

Arbeitsrechtlich relevante Regelungen – so die Analyse des IT-Referats beim bayerischen Justizministerium – können lediglich rechtliche und moralische Schranken setzen, aber der IT-Verantwortliche sollte weitergehende Maßnahmen ergreifen, um Datenraub und Virenbefall von vorneherein zu unterbinden.

Um das Sicherheitsrisiko so klein wie möglich zu halten, wurden zunächst alle USB-Schnittstellen im BIOS deaktiviert und standen somit den Endanwendern grundsätzlich nicht zur Verfügung. Aufgrund der vielschichtigen Arbeitsabläufe bei den Gerichten und Staatsanwaltschaften musste jedoch eine differenziertere Lösung zur Nutzung der USB-Schnittstelle gefunden werden, ohne das Sicherheitsrisiko unnötig zu erhöhen.

Sicher ist sicher

Da eine Komplettsperrung der USB-Schnittstellen nicht aufrechterhalten werden konnte, wurde der IT-Dienstleister Unisys Deutschland gebeten, ein Konzept auszuarbeiten.

Gesucht wurde eine Lösung, die sowohl die Vorgaben der IT-Sicherheit als auch die Belange der Nutzer zufrieden stellt. Einerseits durfte das Risiko durch die Freigabe von Anschlüssen keinesfalls erhöht werden, und andererseits sollten Anwender die Möglichkeit haben, im beruflichen Alltag Speicher-Sticks, CD-Brenner, CD-ROM- und Floppy-Laufwerke nutzen zu können.

Auf Anwenderseite reichte der Bedarf an neuen Geräten von PDAs und Flachbettscannern bis zu Legacy-Free-Platinen an PCs und Druckern, die für den Dienstgebrauch erforderlich waren. Kurz gesagt: Der Gebrauch von USB-Peripheriegeräten durfte nicht wahllos erfolgen, sondern die gesuchte Lösung sollte gezielt Berechtigungen zuteilen, ohne dass Betriebsaufwand und Betriebskosten nach oben schießen.

Die Wahl fiel auf die Software Sanctuary Device Control von Lumension Security, die nach dem Whitelist-Prinzip arbeitet und damit einen kontrollierten Einsatz aller tragbaren Speichermedien und Geräte erlaubt.

Mittlerweile wurde das Projekt flächendeckend im Staatsministerium der Justiz und in sämtlichen Gerichten und Staatsanwaltschaften des Freistaates Bayern umgesetzt. Im gesamten Betriebsumfeld werden die externen Schnittstellen der Produktivumgebung abgesichert und von zentraler Stelle aus administriert. Die Lösung ermöglicht es, sehr flexibel auf die Anforderungen der Nutzer einzugehen. Neue Hardware lässt sich automatisch einer der vordefinierten Klassen zuordnen, und die Software wendet dann die für diese Geräteklasse geltende Zugriffsregel an. So kann den einzelnen Mitarbeitern ein individuelles Portfolio an Geräten oder der jeweiligen eindeutigen Signatur zugeordnet werden. Drucker, Scanner, PDAs und Diktiergeräte stehen damit ab sofort nicht wahllos zur Verfügung, sondern nur entsprechend der vorgenommenen Berechtigungen.

Artikelfiles und Artikellinks

(ID:2013150)