Data Loss Prevention Keine Gesetzeslücken, keine Sicherheitslücken

Redakteur: Gerald Viola

Mitarbeiterrichtlinien zur Verwendung von mobilen Speichergeräten und regulative BIOS-Einstellungen auf den Behördenrechnern reichen dem bayerischen Staatsministerium der Justiz nicht, um den Einsatz von USB-Sticks, CD-ROMs und DVDs sicherheitstechnisch zu regeln.

Firmen zum Thema

Riegel. Das bayerische Staatsministerium der Justiz in München reguliert den Umgang mit Speichergeräten per Whitelist-Technologie
Riegel. Das bayerische Staatsministerium der Justiz in München reguliert den Umgang mit Speichergeräten per Whitelist-Technologie
( Archiv: Vogel Business Media )

Das bayerische Staatsministerium der Justiz in München stellt sehr hohe Anforderungen an die IT-Sicherheit. Schließlich schreibt beispielsweise die Projektgruppe eGovernment im Bundesamt für Sicherheit in der Informationstechnik (BSI) für Behörden zwingend vor, Sicherungsmaßnahmen zu entwickeln und Restrisiken abzuschätzen, um im Ergebnis einen datenschutzgerechten Technikeinsatz zu erreichen. „Öffentliche Stellen des Bundes und der Länder haben grundsätzlich vor Einführung einer eGovernment-Anwendung zu prüfen, ob die mit der automatisierten Verarbeitung verbundenen Risiken für die Rechte der Betroffenen wirksam beherrscht werden können“, steht im „eGovernment-Handbuch“.

Diese Risikoabschätzung ist insbesondere dann erforderlich, wenn sensitive Daten verarbeitet werden. Angesichts der sich permanent verändernden Struktur der Datenhaltung ist das keine leichte Aufgabe.

Zentrale oder verteilte Datenbestände

Denn Verwaltungsabläufe fußen zunehmend auf Informationen, die elektronisch gespeichert und übertragen werden. In der modernen Verwaltung basieren die täglichen Arbeitsprozesse nicht mehr ausschließlich auf einzelfallbezogenen Aktenstücken, die als Originale in den bearbeitenden Organisationseinheiten weitergereicht werden. Stattdessen laufen die täglichen EDV-Aktivitäten der Justizverwaltung beispielsweise über zentrale oder verteilte Datenbestände in elektronischen Datenspeichern mit Zugriffsmöglichkeiten für die berechtigten Stellen. Die gewollte Beschleunigung der Arbeitsprozesse und die hohe Verfügbarkeit der Informationen haben allerdings zur Folge, dass auch der Verlust von Daten leichter möglich ist. Ohne entsprechende Sicherheitsmaßnahmen könnte die funktionsreiche und sich stets wandelnde Kommunikationstechnik zum Sicherheitsrisiko werden. Zwar sind die Informationen ohne technische Hilfsmittel nicht einsehbar und ihre inhaltliche Richtigkeit nicht ohne Technik prüfbar. Es ist aber auch nicht ohne Weiteres nachvollziehbar, in welcher Weise, zu welchem Zweck und von wem elektronische Informationen weiterverarbeitet wurden.

Ein mögliches Risiko in Unternehmen und Behörden können außerdem die Mitarbeiter selbst sein, wenn sie die neuen Kommunikationstechnologien in vollem Umfang gebrauchen. Durch externe Geräte, die per USB-Anschluss mit dem Netzwerk verbunden sind, können beispielsweise Daten gestohlen oder Schadcode in das Netzwerk eingespeist werden.

Weiter

Nur erlauben, was erlaubt ist

Dabei muss man noch nicht einmal von einem pessimistischen Menschenbild ausgehen. Häufig sind solche Sicherheitsverletzungen keine böse Absicht, sondern Unvorsichtigkeit und Unwissenheit der Mitarbeiter spielen eine größere Rolle. Es gibt keine Gewähr, dass der vom heimischen Familien-PC mitgebrachte USB-Stick neben harmlosen Daten nicht auch Viren, Würmer, Spyware und andere Schadsoftware enthält.

Arbeitsrechtlich relevante Regelungen – so die Analyse des IT-Referats beim bayerischen Justizministerium – können lediglich rechtliche und moralische Schranken setzen, aber der IT-Verantwortliche sollte weitergehende Maßnahmen ergreifen, um Datenraub und Virenbefall von vorneherein zu unterbinden.

Um das Sicherheitsrisiko so klein wie möglich zu halten, wurden zunächst alle USB-Schnittstellen im BIOS deaktiviert und standen somit den Endanwendern grundsätzlich nicht zur Verfügung. Aufgrund der vielschichtigen Arbeitsabläufe bei den Gerichten und Staatsanwaltschaften musste jedoch eine differenziertere Lösung zur Nutzung der USB-Schnittstelle gefunden werden, ohne das Sicherheitsrisiko unnötig zu erhöhen.

Sicher ist sicher

Da eine Komplettsperrung der USB-Schnittstellen nicht aufrechterhalten werden konnte, wurde der IT-Dienstleister Unisys Deutschland gebeten, ein Konzept auszuarbeiten.

Gesucht wurde eine Lösung, die sowohl die Vorgaben der IT-Sicherheit als auch die Belange der Nutzer zufrieden stellt. Einerseits durfte das Risiko durch die Freigabe von Anschlüssen keinesfalls erhöht werden, und andererseits sollten Anwender die Möglichkeit haben, im beruflichen Alltag Speicher-Sticks, CD-Brenner, CD-ROM- und Floppy-Laufwerke nutzen zu können.

Auf Anwenderseite reichte der Bedarf an neuen Geräten von PDAs und Flachbettscannern bis zu Legacy-Free-Platinen an PCs und Druckern, die für den Dienstgebrauch erforderlich waren. Kurz gesagt: Der Gebrauch von USB-Peripheriegeräten durfte nicht wahllos erfolgen, sondern die gesuchte Lösung sollte gezielt Berechtigungen zuteilen, ohne dass Betriebsaufwand und Betriebskosten nach oben schießen.

Die Wahl fiel auf die Software Sanctuary Device Control von Lumension Security, die nach dem Whitelist-Prinzip arbeitet und damit einen kontrollierten Einsatz aller tragbaren Speichermedien und Geräte erlaubt.

Mittlerweile wurde das Projekt flächendeckend im Staatsministerium der Justiz und in sämtlichen Gerichten und Staatsanwaltschaften des Freistaates Bayern umgesetzt. Im gesamten Betriebsumfeld werden die externen Schnittstellen der Produktivumgebung abgesichert und von zentraler Stelle aus administriert. Die Lösung ermöglicht es, sehr flexibel auf die Anforderungen der Nutzer einzugehen. Neue Hardware lässt sich automatisch einer der vordefinierten Klassen zuordnen, und die Software wendet dann die für diese Geräteklasse geltende Zugriffsregel an. So kann den einzelnen Mitarbeitern ein individuelles Portfolio an Geräten oder der jeweiligen eindeutigen Signatur zugeordnet werden. Drucker, Scanner, PDAs und Diktiergeräte stehen damit ab sofort nicht wahllos zur Verfügung, sondern nur entsprechend der vorgenommenen Berechtigungen.

Planung ist alles

Sanctuary erweitert das standardmäßige Windows-Sicherheitsmodell um die Kontrolle von E/A-Geräten und setzt dabei auf der Kernel-Ebene an, damit die Zugangsberechtigungen nicht manipulierbar sind. Für jeden PC in der bayerischen Justiz ist auf diese Weise geregelt, welche Hardware genutzt werden kann. Gesetzt den Fall, einzelne Justizbedienstete benötigen Zugriff auf eine bestimmte Hardware, schaltet der Administrator die gewünschten Geräte oder Geräteklassen für die jeweiligen Benutzer oder Benutzergruppen frei. Sollte ein Gerät unbekannt sein und keiner der vordefinierten Klassen angehören, so greift die Software auf das restriktive Konzept des „Least Privilege Principle“ zurück.

Nur die jeweils unbedingt benötigten Rechte werden eingeräumt und User haben solange keinen Zugriff, bis explizit das einzelne Peripheriegerät für den zugriffsberechtigten Mitarbeiter freigegeben wird. Sicherheit per Whitelist-Ansatz bedeutet also, dass der Zugriff auf ein Gerät für alle Benutzer zunächst standardmäßig untersagt ist.

Deshalb ist die Projektplanung auch der wichtigste Aspekt beim Einsatz der Sanctuary-Software. Hier wird genau festgelegt, welche Behörden, Abteilungen und Mitarbeiter mit welchen externen Geräten arbeiten dürfen. Dafür war eine exakte interne Analyse notwendig, um zu viele Anpassungen im Nachgang zu vermeiden. „Die gesamte Vorplanung dauerte rund drei Monate und innerhalb nur weniger Tage konnte das Projekt abgeschlossen werden“, resümiert Stephan Wolff, Senior Consultant von Unisys. „Die jetzt verfügbare Whitelist umfasst die Signaturen aller freigegebenen Geräte und wird im Rollout vom Server auf sämtliche Rechner und Laptops übertragen.“ Heute nutzen mehr als 120 Dienststellen an über 250 Standorten die Software Sanctuary Device Control, um insgesamt 14.500 Einzelrechner in allen Justiz-Dienststellen des Freistaats Bayern abzusichern.

Bitte schreiben Sie mit!

Angesichts der hohen Zahl an PC-Arbeitsplätzen kommen auf Administratorseite neben den Sicherheitsaspekten weitere Auswahlkriterien wie Bedienungsfreundlichkeit und Kostengünstigkeit hinzu. Laufwerke müssen freigeschaltet, neue Geräte eingepflegt und in den richtigen Gerätegruppen eingefügt werden.

Das Bedienungspersonal erhält dazu elektronische Tickets, wenn neue Hardware freigegeben werden soll. Aus der Ferne können die IT-Administratoren dann direkt auf dem Rechner nachschauen, welche Berechtigungen fehlen, eine aktualisierte Konfiguration erstellen und remote anwenden. „Administrationsarbeiten beschränken sich so auf weniger als einen Tag in der Woche, weil das benutzergruppenbezogene Anwenderkonzept unnötige Arbeitsschritte von vorneherein vermeidet“, fasst Wolff seine Erfahrungen zusammen. „Zudem ist die Konsole übersichtlich und alle Administrationsarbeiten gehen schnell von der Hand. Bei weiterführenden Technikfragen haben wir mit dem Hersteller-Support gute Erfahrungen gemacht.“

Die Protokollierungsfunktionalität ist bei der Überprüfung und Durchsetzung von Compliance-Richtlinien ein entscheidender Faktor, denn dadurch lässt sich die Einhaltung gesetzlicher und branchenweiter Richtlinien auf Knopfdruck dokumentieren.

Artikelfiles und Artikellinks

(ID:2013150)