Technisch-Organisatorische Maßnahmen

Startseite

Wir über uns und Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Adressen von Datenschutzbehörden
Materialien
Service und Verweise
Datenschutz nach Themen

Orientierungshilfe zu
Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet

Zur Zullässigkeit von Protokollierung und Inhaltskontrolle mittels einer Firewall 4. Zullässigkeit von Protokollierung und Inhaltskontrolle mittels einer Firewall
Zur Inhaltsübersicht AUSWAHL UND UMSETZUNG DER SICHERHEITSMASSNAHMEN;
BETRIEBSPHASE

 
5.1 Security Policy und Sicherheitskonzept

Aus den Anforderungen der im Vorfeld gemachten Sicherheitsbetrachtungen der Kommunikations- und der Risikoanalyse ist ein Regelwerk zu erstellen. In dieser Security Policy sind die Rahmenbedingungen zur Einrichtung, zum Betrieb und zur Verwaltung der Systeme für die interne Kommunikation und die Verbindungen zum Internet festzulegen.
Die Zuständigkeiten für Betrieb, Verwaltung und Administration der für den Verbund eingesetzten Kommunikationssyteme müssen aufeinander abgestimmt sein. Es müssen die notwendigen Maßnahmen aufgeführt werden, die dem Schutz nach innen und außen dienen. Bereiche mit sensiblen Datenbeständen müssen besonders berücksichtigt werden.
In Bezug auf die Firewall sollte die Security Policy folgende Festlegungen enthalten (vgl. [BSI]):
  • Was soll geschützt werden?
  • Welche Dienste sind erforderlich?
  • Welche Benutzer werden zugelassen?
  • Welche Ereignisse werden protokolliert und wer wertet diese Daten aus?
  • Welcher Datendurchsatz ist zu erwarten?
Da die Sicherheit des Gesamtsystems nicht allein von der Firewall bestimmt wird, sind in die Security Policy auch flankierende Vorgaben aufzunehmen, wie das Verbot von zusätzlichen Netzzugängen, z. B. per Modem oder ISDN, Virenschutz und Backup-Konzept.

Basierend auf der Security Policy ist ein Sicherheitskonzept zu erstellen, welches die Vorgaben in konkrete Maßnahmen (Konfigurationen, Filterregeln etc.) umsetzt.

Voraussetzung für die Anbindung eines Behördennetzes an das Internet ist das Vorliegen einer schlüssigen Security Policy und eines davon abgeleiteten Sicherheitskonzepts sowie dessen konsequente Umsetzung. Die Internet-Anbindung darf nur erfolgen, wenn die Risiken durch technische und organisatorische Maßnahmen wirksam beherrscht werden können.

 
5.2 Auswahl, Konfiguration und Wartung von Firewall-Systemen

Firewall-Systeme müssen transparent und einfach aufgebaut sein. Mit zunehmender Komplexität steigt auch die Wahrscheinlichkeit von Fehlern. Nicht für den Betrieb der Firewall benötigte Anwendungen und Systemprogramme sind daher zu löschen. Auch die Bedienung und die Konfiguration der Firewall müssen benutzungsfreundlich realisiert sein, da sonst unbeabsichtigte Fehleinstellungen Sicherheitseinbußen mit sich bringen. Vertrauenswürdige Systeme müssen ihre Funktionsweise offen Legen, denn nur dann ist es Experten möglich, Hintertüren auszuschließen und die Gefahr von Sicherheitslücken fundiert zu diskutieren. Sicherheitszertifikate für Firewalls können dazu beitragen, dass sich der Grad des Schutzes, den das jeweilige Produkt bietet, leichter einschätzen lässt und Vergleiche zwischen verschiedenen Produkten möglich werden.

Durch den Einsatz verschiedener Produkte, die unabhängig voneinander entwickelt wurden und arbeiten, lässt sich das Sicherheitsniveau steigern. „Monokulturen“ sollten vermieden werden, denn wenn ein Angreifer einen bisher unentdeckten Fehler ausnutzt, kann dort leicht der gesamte Schutzwall zusammenbrechen.

Bei der Konfiguration einer Firewall folgt man am besten der Regel: „Alles, was nicht ausdrücklich erlaubt ist, ist verboten.“ Wenn man bei der Definition der Regeln etwas übersehen hat, wird nur die Funktionalität und nicht die Sicherheit eingeschränkt. Während man eine Einschränkung der Funktionalität im Bedarfsfall schnell merkt, bleiben Einbußen in der Sicherheit oft unerkannt.

Es gibt keine 100%ige Sicherheit. Hinzu kommt, dass sich meist im Laufe der Zeit die Stärke der Sicherheit verringert, z. B. durch Entdeckung von Fehlern, Herausbildung neuer Angriffsformen oder auch Verbesserung der Systemausstattung von Angreifern. Unverzichtbar ist es daher, eine ausreichende und fortlaufende Betreuung des eingesetzten Firewall-Systems durch qualifiziertes Personal zu gewährleisten (vgl. auch [CheBel]). Die Administratoren sollten ständig die Diskussion um Sicherheitslücken verfolgen[2] und sich auch weiterbilden. Das Sicherheitsniveau des Firewallsystems ist regelmäßig neu zu bewerten, damit die Systeme auf den aktuellen Stand gebracht werden.

Treten neue Bedrohungen auf, so ist die Kommunikations- und Risikoanalyse entsprechend zu aktualisieren. Eine solche Anpassung ist auch notwendig, wenn beabsichtigt ist, bisher nicht vorgesehene Internetdienste zur Verfügung zu stellen. Die Firewallsoftware ist laufend zu aktualisieren. Falls notwendig, ist das Firewallsystem umzukonfigurieren oder es sind einzelne Module oder die gesamte Firewall auch außerplanmäßig auszutauschen.

Da nicht alle Angriffsversuche auf das lokale Netz von der Firewall vollständig abgeblockt werden können, ist durch die Systemadministration der laufende Betrieb der Firewall zu überwachen. Dazu müssen die Protokolle regelmäßig ausgewertet werden, um auch solche Angriffsversuche zu entdecken, die durch die Firewall nicht abgewiesen werden können. Es ist dafür zu sorgen, dass dringende Warnmeldungen der Firewall der Bedrohungslage angemessen konfiguriert sind. Ferner müssen diese Meldungen das Wartungspersonal unverzüglich erreichen und zeitnah behandelt werden.

Die Firewalladministration kann nicht losgelöst von der Verwaltung des (lokalen) Verwaltungsnetzes gesehen werden. Kommen beispielsweise Benutzerinnen und Benutzer hinzu, scheiden sie aus oder wechseln sie ihr Aufgabengebiet, so kann sich daraus eine Veränderung in den zur Verfügung zu stellenden Diensten ergeben. Dies erfordert eine entsprechende Aktivität der Firewalladministration. Umgekehrt hat die lokale Administration den Schwachstellen im lokalen Netz besondere Aufmerksamkeit zu schenken, die durch Angriffe von außen ausgenutzt werden können.

Werden aufgrund der Größe oder Struktur der Verwaltungseinheit auch zwischen verschiedenen Teilen dieser Einheit Firewalls eingesetzt, so können bestimmte Aufgaben der Firewall-Administration sinnvoll zentralisiert werden. Insbesondere zählen dazu diejenigen Tätigkeiten, die unabhängig von der Rechteverwaltung der einzelnen Benutzerinnen und Benutzer sind.

 
5.3 Rahmenbedingungen für Konfiguration und Betrieb

Sind bereits für die Planung und Einführung eines Firewall-Systems [3] eine eine Vielzahl von Fragestellungen hinsichtlich technischer, organisatorischer, planerischer und rechtlicher Art zu beachten, kommen während der Betriebsphase weitere Problemkreise hinzu, die durch den Betreiber, ggf. in Abstimmung mit den Benutzern bzw. deren Personalvertretung, zu beantworten sind.

Da die in diesem Zusammenhang zu treffenden Maßnahmen teilweise auch auf die Planungs- und Einführungsphase zurückwirken, sollte auch die Betriebsphase der Firewall bereits frühzeitig berücksichtigt werden. Die rechtlichen Rahmenbedingungen ergeben sich aus Kapitel 4.

Typische Anforderungen während des Betriebs eines Firewall-Systems sind:
A1 Schutz des ordnungsgemäßen Betriebs der Firewall, d.h. der Durchlässigkeit für zugelassenen Netzverkehr einerseits und der Undurchlässigkeit für nicht zugelassenen Netzverkehr andererseits (eingehend oder ausgehend),
A2 Schutz des internen Netzes vor Angriffen von außen, sowohl bezogen auf online-Angriffe als auch auf offline-Angriffe (z.B. durch eingeschleuste Viren),
A3 Schutz vor einer unzulässigen bzw. rechtswidrigen Nutzung der Firewall, sei es von außen (z.B. Hacking) oder von innen (z.B. unerlaubte private Nutzung oder unzulässiger Zugriff auf für dienstliche Zwecke nicht erforderliche Informationsangebote),
A4 die rechtliche, organisatorische und technische Differenzierung zwischen der dienstlichen und der privaten Nutzung des Internet-Anschlusses, soweit eine außerdienstliche Nutzung überhaupt zugelassen wird,
A5 Abrechnung von Leistungen, die durch die Firewall erbracht werden,
A6 Statistische Auswertungen der Firewall-Benutzung z.B. zur Angebotsoptimierung.

Um diese Anforderungen umzusetzen, stehen - im wesentlichen unabhängig von der technischen Entwicklung oder einer rechtlichen Beurteilung - folgende technisch-organisatorische Maßnahmen zur Verfügung:
M1 Gestaltung der Netzzugangspolicy und der Betriebsparameter der Firewall allgemein,
M2 Auswertung der Inhalte übertragener Daten (z.B. hinsichtlich eines potentiellen Virenbefalls),
M3 Auswertung der Verbindungsdaten, insbesondere der URL (z.B. hinsichtlich Datenvolumen, Adressen).

Dabei ergibt sich grundsätzlich folgende Eignungsmatrix für die genannten Maßnahmen, wobei die rechtliche Zulässigkeit der jeweiligen Maßnahme im Einzelfall zu prüfen bleibt:

  A1 A2 A3 A4 A5 A6
M1 x x x x x x
M2 - x x x - -
M3 x x x - x x

 
4.4  Empfehlungen für den Betrieb einer Firewall

Die nachfolgenden Empfehlungen gelten unabhängig davon, ob öffentliche Stellen selbst die Internet-Dienste anbieten oder ob sie sich dabei eines Providers bedienen.
Empfehlung! Aufgrund der rechtlich unterschiedlichen Bewertung der Datenübertragung für eigene Zwecke der Stelle einerseits und für Dritte andererseits sowie der damit verbundenen praktischen Konsequenzen sollte in einer Dienst- oder Betriebsvereinbarung klar geregelt werden, ob und wenn ja welche Dienste zur privaten Nutzung freigegeben sind.
Empfehlung! Im Hinblick darauf, dass bei behörden- und unternehmensinternen Systemen Mitbestimmungstatbestände erfüllt sind (Verhaltens- und Leistungskontrolle), müssen die Personalvertretungen und Betriebsräte schon bei der Planung und Einführung von Firewallsystemen und insbesondere der Protokollierung beteiligt werden. Gegebenenfalls müssen entsprechende Betriebs- oder Dienstvereinbarungen abgeschlossen werden, in denen das Verfahren der Protokollierung, der Kontrolle und der Auswertung der Protokolle verbindlich geregelt wird. Eine Einwilligung der Arbeitnehmer als Grundlage für die Protokollierung der dienstlichen Nutzung ist abzulehnen.
Empfehlung! Bei Datenübertragung für eigene Zwecke der Stelle sind die Mitarbeiter auf die Art und den Umfang technischer Kontrollen hinzuweisen, damit sie ihr Nutzerverhalten entsprechend steuern können; ferner müssen sie darüber informiert werden, welche Folgen es hat, wenn Nachrichten ausgefiltert werden.
Empfehlung! Zur Durchsetzung des Verbots einer privaten Nutzung oder des Zugriffs auf unerwünschte Adressen sollte grundsätzlich auf eine Protokollierung verzichtet werden. Die Durchsetzung dieses Verbots sollte soweit möglich durch die Beschränkung der Zugriffe auf dienstlich erforderliche Angebote (Positivliste) oder über die Sperrung der unerwünschten Adressen versucht werden. Zugriffsversuche auf gesperrte Adressen sollten protokolliert werden. Für erforderliche Protokollierungen sollte in der Dienstvereinbarung ein stufenweises, zunächst nicht personenbezogenes Verfahren festgelegt werden.
Empfehlung! Eine vollständige Protokollierung aller Internetzugriffe der Mitarbeiter zur Verhaltens- und Leistungskontrolle ist grundsätzlich nicht erforderlich und damit unzulässig.
Empfehlung! Die erlaubte private Nutzung des Internet-Zugangs unterliegt dem Fernmeldegeheimnis nach § 85 TKG. Für die Protokollierung gelten § 6 TDDSG und § 9 BDSG. Sie darf danach grundsätzlich nur insoweit erfolgen, als es für die Abrechnung der Dienste oder zur Aufrechterhaltung eines regelgerechten Firewallbetriebs unerlässlich ist.
Empfehlung! Die Protokollierung der von außen (aus dem Internet) erfolgenden Zugriffe oder Zugriffsversuche, die einen Angriff darstellen, ist im Rahmen von §§ 9, 14 BDSG bzw. der entsprechenden Normen der Landesdatenschutzgesetze zulässig. Darüber hinaus ist eine derartige Protokollierung auch erlaubt, wenn sie zum Erkennen potentieller Angriffe erforderlich ist.
Empfehlung! Für die Protokollierung der Zugriffe von außen auf Informationsangebote für die Öffentlichkeit gelten – in Abhängigkeit von der Art des Dienstes – § 6 TDDSG bzw. § 15 MDStV hinsichtlich der Nutzungs- und Abrechnungsdaten. Der Nutzer muss auf der entsprechenden Web-Site über den Umfang der Protokollierung informiert werden.
Empfehlung! Jede nach den voranstehenden Ausführungen zulässige Protokollierung ist so auszugestalten, dass ein datenschutzrechtlicher Missbrauch vermieden wird, d. h.:
  • der Umfang der Protokolle sollte im Rahmen des Möglichen minimal sein,
  • aufgrund der Datenschutzgesetze (z. B. § 14 Abs. 4 BDSG) dürfen Protokolldaten nicht für andere Zwecke verwendet werden,
  • Protokolle sind durch Zugriffsmaßnahmen gegen unbefugte Kenntnisnahme zu sichern,
  • es sind technisch-organisatorische Auswertungsverfahren festzulegen,
  • es sind möglichst kurze Löschfristen vorzusehen.
Empfehlung! Bei eingehenden Daten, beispielsweise E-Mails, sind, unabhängig davon, ob sie dienstlicher oder privater Natur sind, automatisiert ablaufende zentrale und dezentrale Virenchecks zulässig und angezeigt. Dies gilt auch dann, wenn die Daten im Auftrag verarbeitet werden. Dabei ist zu beachten, dass
  • nur eine automatisierte Kontrolle ohne regelmäßige Kenntnisnahme des Kontrollvorgangs oder -ergebnisses durch Administratoren o. ä. erfolgt,
  • das Inhalts-Scanning auf fest definierte Pattern (Virensignaturen) begrenzt und das Scanning nach frei wählbaren Textstellen ausgeschlossen ist,
  • der Betroffene über das Auffinden von Viren in einer für ihn bestimmten Nachricht unterrichtet wird und mit dieser nur unter seiner Beteiligung oder nach Rücksprache umgegangen wird.
Empfehlung! Private E-Mails der Beschäftigten unterliegen dem Fernmeldegeheimnis. Ihre Kenntnisnahme durch den Arbeitgeber über das für die Erbringung des Dienstes erforderliche Maß ist daher unzulässig.
Empfehlung! Der Einsatz von Programmen zur Auswertung von E-Mails ist wegen des damit verbundenen weitgehenden Eingriffs in das Persönlichkeitsrecht der Beschäftigten nur zulässig, wenn die folgenden drei Voraussetzungen kumulativ gegeben sind:
  • es handelt sich ausschließlich um dienstliche E-Mails,
  • das Vorgehen ist in einer Dienstvereinbarung geregelt,
  • es liegt ein die Auswertung rechtfertigender Ausnahmefall vor.
Empfehlung! Bei Datenübertragung für Dritte sind Inhaltskontrollen nur im Auftrag bzw. mit der Einwilligung des Betroffenen[4] zulässig, wobei dem Auftraggeber (z. B. beim Outsourcing) Gestaltungsmöglichkeiten hinsichtlich folgender Aspekte einzuräumen sind:
  • Nutzung bzw. Umfang der Inhaltskontrolle,
  • technische und organisatorische Folgen bei ausgefilterten Nachrichten.
6. Ausblick Zur Betriebsphase
 
Seitenanfang  
 Letzte Änderung:
 am 26.07.2000		  
E-Mail an den Webmaster