Datenschutz und
informationstechnische Sicherheit
bei PCs

Was ist grundsätzlich zu wissen und zu beachten?

Wie wird die informationstechnische Sicherheit beim PC-Einsatz sichgestellt?

3.1	Gegen welche Bedrohungen und Risiken müssen die PC's geschützt werden?

3.1.1 Welche Grundbedrohungen sind beim PC-Einsatz zu berücksichtigen?

Nach der Definition des IT-Sicherheitshandbuchs des BSI ist informationstechnische Sicherheit gegeben, wenn die Anwendungen der Informationstechnik vor möglichen Bedrohungen geschützt sind.

Zur Klassifizierung der Bedrohungen werden zunächst die sog. Grundbedrohungen herangezogen. Es handelt sich bei der "klassischen" Datenverarbeitung um die Bedrohung der Verfügbarkeit der Systeme, Programme und Daten, der Integrität der Systeme, Programme und Daten sowie der Vertraulichkeit der Daten. Nimmt man die Datenkommunikation in (großen) Netzen hinzu, so ist auch die Bedrohung der Authentizität (Verläßlichkeit) der übertragenen Daten bzw. Dokumente zu den Grundbedrohungen hinzuzurechnen. Im Zusammenhang mit dieser Broschüre soll die Bedrohung der Authentizität keine Rolle spielen.

Bedrohung der Verfügbarkeit

Es ist zu verhindern, daß

informationstechnische Systeme oder Einzelkomponenten solcher Systeme durch Verlust oder Funktionsuntüchtigkeit für die vorgesehenen Anwendungen nicht zur Verfügung stehen;
Programme durch Löschung oder Veränderungen, die sie funktionsuntüchtig machen, nicht genutzt werden können;
Daten dadurch, daß sie gelöscht wurden oder der Zugriff auf sie nicht mehr möglich ist, nicht verwendet werden können.

Die Beeinträchtigung der Verfügbarkeit verhindert die vorgesehenen Datenverarbeitungsprozesse.

Bedrohung der Integrität

Es ist zu verhindern, daß

informationstechnische Systeme oder Einzelkomponenten solcher Systeme so verändert (verfälscht) werden, daß vorgesehene Funktionen entfallen, sich in unerwünschter Form verändern oder unerwünschte Funktionen hinzugefügt werden;
Programme so verändert (verfälscht) werden, daß vorgesehene Funktionen entfallen, sich in unerwünschter Form verändern oder unerwünschte Funktionen hinzugefügt werden;
Daten in unerwünschter Weise verändert oder verfälscht werden.

Die Beeinträchtigung der Integrität verfälscht die Ergebnisse der Datenverarbeitungsprozesse.

Bedrohung der Vertraulichkeit

Es ist zu verhindern, daß Unbefugte Daten zur Kenntnis erhalten oder gar nutzen können.

Die Beeinträchtigung der Vertraulichkeit gefährdet je nach Art der Daten Persönlichkeitsrechte oder wichtige, manchmal existentielle Interessen von Staaten, Behörden oder privaten Organisationen.

3.1.2 Wie erfolgt eine Risikobetrachtung für die Erarbeitung eines Sicherheitskonzeptes?

Die Maßnahmen zur Sicherheit der Datenverarbeitung und zur Sicherstellung des technischen und organisatorischen Datenschutzes sollten auf einem Sicherheitskonzept beruhen, welches sich gegen realistische Bedrohungen in angemessener Weise und nach dem Stand der Technik richtet. Es wird kein Sicherheitskonzept auf Akzeptanz stoßen, also vernünftig umgesetzt und in der täglichen Routine beachtet werden, das nicht dadurch gerechtfertigt werden kann, daß es gegen nachvollziehbare Gefahren schützt.

Das IT-Sicherheitshandbuch des BSI [Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheitshandbuch - Handbuch für die sichere Anwendung der Informationstechnik, Version 1.0 - März 1992] beschreibt ein differenziertes Verfahren zur Bedrohungs- und Risikoanalyse, dessen Anwendung empfehlenswert ist, jedoch für den einzelnen PC-Einsatz unangemessen aufwendig sein dürfte.

Demgegenüber wird im IT-Grundschutzhandbuch des BSI [Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch [LINK] - Maßnahmenempfehlungen für den mittleren Schutzbedarf, letzte Version von 1997, Bundesanzeiger Verlagsges. GmbH, Köln] die Risikoanalyse zu einer Schutzbedarfsfeststellung pauschalisiert. Danach werden Gefährdungen durch

höhere Gewalt,
organisatorische Mängel,
menschliche Fehlhandlungen,
technisches Versagen und
vorsätzliche Handlungen

beschrieben und Maßnahmen

an der Infrastruktur,
der organisatorischen Gestaltung,
personeller Art,
an Hard- und Software,
an der Kommunikationstechnik und
für die Notfallvorsorge

dargestellt, die sich gegen die Gefährdungen richten.

Es ist jetzt Sache der Anwender bzw. der anwendenden Organisation, in internen Diskursen die im Einzelfall zu betrachtenden Gefährdungen herauszufinden, zu gewichten und die entsprechenden Maßnahmen in das Sicherheitskonzept zu übernehmen.

Aus diesen Überlegungen wird deutlich, daß es kaum möglich ist, Standard-Sicherheitskonzepte unkritisch zu übernehmen. In jedem Einzelfall finden sich andere Rahmenbedingungen, die zu anderen Gefährdungslagen führen und somit andere Maßnahmen erfordern.

So sind zu beachten:

die personellen Gegebenheiten (Ausstattung, Qualifikation, Motivation ...)
baulichen und räumlichen Verhältnisse (Kellergeschoß, Dachgeschoß, irgendwo dazwischen, Einzelbüro, Großraumbüro, Publikumsverkehr ...)
die Art der eingesetzten Informationstechnik (PCs, PC-Netze, UNIX-Systeme, proprietäre Großrechner, Telekommunikationssysteme ...)
Anreize Unbefugter, sich die Daten zu beschaffen, Daten, Hard- und Software zu zerstören oder zu manipulieren. Diese Anreize können finanzieller Art, politisch begründet sein oder auf individuellen Rachegelüsten oder Frustrationen beruhen.
Anreize Befugter, die Daten zu mißbrauchen, Daten, Hard- und Software zu zerstören oder zu manipulieren. Auch diese Anreize können finanzieller Art, politisch begründet sein oder auf individuellen Rachegelüsten oder Frustrationen beruhen.
usw.

Eine Risikobetrachtung beruht auf Annahmen über die Schadenshöhe, die das Eintreten eines Ereignisses auslöst und über die Häufigkeit, mit der man mit dem Eintreten eines solchen Ereignisses rechnen muß. Maßnahmen, die sich gegen die Risiken richten, verringern den Schaden und/oder die Häufigkeit des Eintretens.

Ausreichend sind die Maßnahmen dann, wenn sie das Risiko eines Schadensereignisses auf ein akzeptabel geringes Restrisiko reduzieren. Der wirtschaftlichen Angemessenheit wird Rechnung getragen, indem man aus der möglichen Vielfalt von ausreichenden Maßnahmen jene ergreift, die in ökonomischer Hinsicht günstig sind.

Bei der Risikobetrachtung selbst dürfen ökonomische Aspekte keine Rolle spielen: Ein Risiko wird nicht dadurch geringer, daß Ausgaben für seine Eingrenzung zu befürchten sind!

Grundsätzlich gilt das Verhältnismäßigkeitsprinzip auch für Maßnahmen zur Verbesserung der informationstechnischen Sicherheit oder zur Sicherstellung des Datenschutzes. Der Schutzzweck, an dem sich die Verhältnismäßigkeit mißt, orientiert sich allerdings

am Schaden, der für den Betroffenen entsteht, wenn seine Daten unbefugt offenbart, verändert oder genutzt werden (Sichtweise des Datenschutzes),
am Risiko, das eine Organisation trägt, daß Daten unbefugt offenbart, verändert oder genutzt werden (Sichtweise der IT-Sicherheit),

auf keinen Fall jedoch

am Investitionsvolumen für die informationstechnischen Systeme und/oder
an den Kosten für die notwendigen technisch-organisatorischen Maßnahmen.

Nach wie vor gilt der Grundsatz, daß Daten deshalb nicht weniger zu schützen sind, weil sie nur mit PCs verarbeitet werden!

3.1.3 Was bedroht die Verfügbarkeit der Systeme, Programme und Daten?

Es kann vielfältige Ursachen haben, daß Systeme, Programme oder Daten gerade dann nicht verfügbar sind, wenn man sie braucht. Die Folgen fehlender Verfügbarkeit sind ebenfalls unterschiedlicher Art. Je nach Bedeutung einer IT-Anwendung für die Aufgabenerfüllung einer Organisation kann es zum einen nur lästig sein, aber eine willkommene Gelegenheit bieten, endlich einmal aufgeschobene Dinge zu erledigen, für die man das System nicht braucht, zum anderen kann es aber zur existenziellen Gefährdung von Organisationen führen, wenn die IT-Anwendungen allzulange ausfallen. Solche Konsequenzen wird der Ausfall von PCs normalerweise nicht haben. Dennoch werden Arbeitsabläufe gestört, Aufgabenerledigungen erschwert und verzögert. Man muß also die konkreten Risiken erkennen und etwas dagegen tun.

Höhere Gewalt, versehentliches, fahrlässiges oder absichtliches Fehlverhalten von Mitarbeitern und Außenstehenden, organisatorische Schwachstellen und Mängel sowie technisches Versagen können Ursachen dafür sein, daß ein System nicht zur Verfügung steht, Programme nicht ausgeführt werden können, Daten verschwunden sind.

Die Zuordnung der Maßnahmen zu den einzelnen Risiken und Bedrohungen erfolgt nach folgenden Kriterien:

Spielt eine Maßnahme eine ausschlaggebende Rolle bei der Einschränkung eines Risikos, so erfolgt der Verweis in Fettdruck.
In der Regel werden Risiken durch eine sinnvolle Kombination diverser Maßnahmen reduziert. Der Verweis auf solche Maßnahmen wird nicht besonders hervorgehoben.
Es gibt viele weitere Maßnahmen, die zumindest mittelbar dämmenden Einfluß auf ein Risiko haben können. Soweit sie naheliegend sind, erscheint ein Verweis in (Klammern).

Manche der in 3.2 erwähnten Maßnahmen können in speziellen Einzelfällen und unter bestimmten Voraussetzungen bei der Eindämmung eines Risikos helfen. Es ist daher nicht ausgeschlossen, daß es auch Maßnahmen gibt, an die man denken könnte, die aber keinen Verweis erhalten haben.

Nr.	Risiko/Bedrohung	Erläuterung	Maßnahme (3.2)
R01	Feuer	Höhere Gewalt, die die Verfügbarkeit der Systeme bedroht, liegt vor bei und	M12, M21, M22, M44, M49, M51, M73, M90, M96
R02	Wassereinbruch	durch Überschwemmungen, Rohrbrüche, eindringendes Regenwasser. Auch	M12, M21, M22, M44, M49, M51, M73, M90, M96
R03	Überspannungen,	hervorgerufen durch Blitzschlag oder Störungen in der Stromversorgung müssen beachtet werden.	M12, M20, M21, M22, M35, M44, M49, M51, M73, M94, M95, M96
R04	Ausfall von Mitarbeitern	Höhere Gewalt kann auch der sein. Die Ursachen: Krankheit, Unfall, Tod, Streik und als nichthöhere Gewalt: vorsätzliches Fernbleiben.	M15, M16, M22
R05	Sabotage	Absichtliches Fehlverhalten ist auch die an Hard- und Software oder durch das Löschen bzw. Verändern von Daten sowie der	M01, M04, M05, M06, M12, M18, M22, (M31), M32, M33, M34, M37, M39, M40, M43, M44, M45, M49, M58, M59, M61, (M62), M73, M80, M81, M82, M90, M91, M92, M93, M96, M100
R06	Diebstahl (--> R20)	von Hardwarekomponenten und Datenträgern.	M01, M04, M05, M06, M07, M12, M18, M22, M24, M25, M26, M27, M28, M29, M31, M32, M33, M34, M44, M49, M50, M51, M67, M68, M73, M74, M78, M79, M81, M90, M91, M92, M93, M96, M100
R07	fahrlässige Zerstörung oder Beschädigung von Geräten,	Aus Versehen oder aus Fahrlässigkeit kann ebenfalls manches passieren: Die zum Beispiel durch auslaufende Getränke, Hinabstoßen von empfindlicher Hardware (z.B. bei der Raumreinigung oder beim Möbelrücken) tangiert ebenso die Verfügbarkeit des Systems wie	M02, M04, M05, M18, M91, M92, M93
R08	Bedienungsfehler	von Benutzern und Systemverwaltern, die zur Zerstörung von Daten, Veränderung der Programmumgebung, vieleicht sogar zur Beschädigung von Hardwarekomponenten führen können.	(M01), M02, M11, M12, M20, (M44), M96
R09	Nichtbeachtung der Sicherheitsregeln	Die und die	(M01), M02, M03, M11, M30, M55, M82, M100, M101
R10	Unterlassung bzw. Nichtaktivierung von Sicherheitsmaßnahmen	kann ebenfalls leicht dazu führen, daß die Informationsverarbeitung ausfällt.	M02, M03, M11, M16, (M62), M82
R11	unerlaubte Ausübung von Zugriffsrechten (--> R23)	Organisatorische Mängel liegen vor, wenn die fahrlässige oder vorsätzliche, auf jeden Fall jedoch möglich ist. Sie kann zu unautorisierten Datenlöschungen und -manipulationen, zur Löschung und Manipulation von Programmen führen.	M09, M10, M17, M19, M52, M53, M54, M56, M57, M58, M59, M61, M62, M63, M64, (M65), (M66), M76, M83, M84, M89, M98, M100, M101
R12	Computeranomalien (--> R17)	Das mannigfaltige Auftreten von wie Computerviren, trojanische Pferde, Makro-Viren, Würmer sind zwar böswillige Angriffe auf die Sicherheit der IT-Systeme, meist aber auch ein Zeichen für organisatorische Schwachstellen, wenn sie erhebliche Wirksamkeit erlangen.	M06, M12, M13, M20, M22, M36, M39, M40, M43, M44, M45, M47, M48, M51, M71, M72, M85, M86, M87, M96
R13	Unterbrechung der Stromversorgung	Technisches Versagen ist die Ursache von Schäden, wenn eine zu beklagen ist.	M20, M22, M35, M94, M95
R14	defekte Datenträger,	Sie kann Ursache sein für insbesondere Festplatten.	M06, M12, M20, (M35), M44, M51, M94, M95, M96
R15	fehlerhafte Software	Aber auch kann zu Datenverlusten und Doppelarbeit führen. Wer hat sich nicht schon darüber geärgert, wenn eine Speicherschutzverletzung bei Anwendung verbreiteter Standardsoftware vorkam.	M12, M20, M44, M96

3.1.4 Was bedroht die Integrität von Systemen, Programmen und Daten?

So ärgerlich es auch ist, wenn sich Bedrohungen der Verfügbarkeit realisieren, also ein System ausfällt, ein Programm nicht aufgerufen werden kann oder Daten fehlen: Immerhin merkt man es gleich und kann zur Schadensbegrenzung übergehen. So einfach ist es jedoch nicht, wenn sich Bedrohungen der Integrität realisiert haben, ein solcher Schadensfall also eingetreten ist. Eine Veränderung eines Systems, eines Programms, eines Datums, die ungewollt eingetreten ist, möglicherweise absichtlich veranlaßt wurde, allerdings nicht zum Ausfall von Funktionen führt, kann zu Veränderungen der Informationsverarbeitung führen, die letztlich zu falschen Ergebnissen führen können. Schutzmechanismen können ausgeschaltet oder zu mehr Unsicherheit beitragen. Es ist keineswegs sicher, daß die Veränderungen bemerkt werden, bevor größere Schäden - etwa bei Kunden und beim Bürger oder durch Entscheidungsfindungen, die auf fehlerhaften Daten beruhen, eingetreten sind.

Nr.	Risiko/Bedrohung	Erläuterung	Maßnahme (3.2)
R16	unkontrollierte Einbringen fremder Datenträger mit unautorisierten Programmen oder falschen Daten	Durch das können Programme und Daten verfälscht werden	(M03), M06, M13, M17, M18, M19, M24, M25, M26, M36, (M39), (M40), (M45), M46, M47, M48, M49, M50, (M52), (M53), (M58), (M59), (M61), M62, (M63), (M64), M71, M72, M73, M74, (M82), M83, M85, M86, M87, M88, (M97), M100
R17	Computeranomalien (--> R12)	können - meist - unbeabsichtigt über bewegliche Datenträger, insbesondere Disketten, in den PC eingeschleust werden. Auch moderne Kommunikationsverfahren wie das Internet, vor allem beim Empfang von E-Mail oder dem Herunterladen von Software, vergrößern die Risiken einer Infektion mit Viren, auch Makroviren.	M06, M12, M13, M20, M22, M36, M39, M40, M43, M44, M45, M47, M48, M51, M71, M72, M85, M86, M87, M96
R18	unbefugte und unkontrollierte Änderungen der Systemkonfiguration, von Programmen und Daten	Damit Sicherheitsrichtlinien bzw. speziell eingerichtete Sicherheitsfunktionen nicht umgangen werden können, müssen verhindert werden, da sonst Zugriffsrechte gelöscht oder verfälscht werden können.	(M03), M08, M11, M12, M17, M19, (M36), M37, M38, M39, M40, M41, M42, M44, M45, M46, (M47), (M48), (M52), (M53), M54, M56, M57, M58, M59, M60, M61, M62, (M63), (M64), M65, (M71), (M72), M80, M83, (M84), (M85), (M86), (M87), M88, M89, M96, M97, M100, M101
R19	Schädigungen des Datenbestandes	können nach dem Ausfall des Systems z.B. durch das nicht ordnungsgemäße Zurückschreiben von Datensätzen entstehen, insbesondere wenn es dabei zu Inkonsistenzen in der Datenbank kommt. Gleiches kann durch den unsachgemäßen Umgang mit IT-Anwendungen entstehen, so daß z.B. Daten unabsichtlich verändert oder zerstört werden.	M12, M20, (M30), (M35), M43, M44, M94, M95, M96

3.1.5 Was bedroht die Vertraulichkeit der Daten?

Aus datenschutzrechtlicher Sicht ist die Vertraulichkeit der Daten von besonderer Bedeutung. Aus dem Blickwinkel der informationstechnischen Sicherheit wird die informationelle Selbstbestimmung der Menschen in erster Linie durch die Verletzung der Vertraulichkeit ihrer Daten beeinträchtigt.

Beim PC-Einsatz ist auf folgendes zu achten:

Nr.	Risiko/Bedrohung	Erläuterung	Maßnahme (3.2)
R20	Diebstahl (--> R06)	Mit dem eines PCs, dessen Festplatte vertrauliche Daten enthält, oder von Datenträgern, die solche Daten enthalten, kann es zur Offenbarung dieser Daten gegenüber Unberechtigten kommen.	M01, M04, M05, M06, M07, M12, M18, M22, M24, M25, M26, M27, M28, M29, M31, M32, M33, M34, M44, M49, M50, M51, M67, M68, M73, M74, M78, M79, M81, M90, M91, M92, M93, M96, M100
R21	unzureichende Löschung von Datenträgern	Werden Datenträger (auch ausgebaute Festplatten) oder PCs ausgesondert, so kann durch die die Vertraulichkeit der Daten empfindlich verletzt werden.	M02, M06, M08, M75, M99
R22	unbefugte Zugriffe auf den PC	Durch und die	M04, M05, M09, M17, M18, M19, M31, M32, M38, M41, M42, M52, M54, M56, M57, M60, M62, M63, M68, M76, M79, M84, M90, M91, M92, M93, M97, M98, M100, M101
R23	unerlaubte Ausübung von Zugriffsrechten (--> R11)	können die Daten ebenfalls in falsche Hände geraten.	M09, M10, M17, M19, M52, M53, M54, M56, M57, M58, M59, M61, M62, M63, M64, M65, M66, M76, M83, M84, M89, M98, M100, M101
R24	Ausspähung von Daten auf dem Bildschirm	Weiter ist darauf zu achten, daß die verhindert wird.	M04, M18, M23, M76, M98
R25	kompromittierende Abstrahlung des Bildschirms	Dies gilt u.U. auch für das Ausspähen aus der Ferne, nämlich weil die (elektromagnetische Abstrahlung eines Bildschirms, dessen Inhalt mit speziellen Empfängern aus der Ferne auf einem Bildschirm sichtbar gemacht werden kann) ausgenutzt wird.	M23, M76, M77, M98
R26	Ausspähen gedruckter Daten	Konzentriert man sich allzusehr auf die elektronisch vorliegenden Daten, übersieht man leicht, daß auch das oder die	M07, M08, M18, M23
R27	Entwendung von Listen	erhebliche datenschutzrechtliche Risiken in sich bergen.	M07, M08, M18, M23
R28	unbefugtes Lesen und Kopieren von Daten auf Datenträgern	Die Vertraulichkeit von Daten wird durch ebenfalls außerordentlich gefährdet.	M06, M09, M10, M13, M17, M19, M27, M28, M36, M39, M40, M47, M48, M49, M50, (M52), (M53), M54, M56, M57, (M63), (M64), (M68), M71, M72, M73, M74, M75, (M79), M83, (M84), M85, M86, M87, M99, M100
R29	unbefugte Übertragung geschützter Daten.	Gleiches gilt für die	M09, M10, M14, M17, M19, (M52), (M53), M54, M56, M57, (M63), (M64), (M68), M70, (M79), (M84), M101
R30	unbefugter Zugriff auf geschützte Daten bei ihrer Übertragung	Ein ist bei der Datenübermittlung ebenso zu verhindern wie die	M14, M67, M69
R31	Fehladressierung von Daten	beim Versand oder der Übertragung geschützter Daten.	M13, M14, M29, M70

3.2	Wie wird der PC gegen die Bedrohung geschützt? Wie werden die Risiken verringert?

3.2.1 Welche personellen und organisatorischen Maßnahmen sind zu ergreifen?

Organisatorische Regelungen sind zwingende Voraussetzung für die Durchführung von Maßnahmen zur Herstellung informationstechnischer Sicherheit.

Organisatorische Maßnahmen sind überall dort notwendig, wo Technik nicht greifen kann. Personelle Maßnahmen und die Schaffung eines sicherheitsorientierten Umfeldes gehören dazu. Schulungen müssen ein sicherheitsbewußtes Handeln fördern und die Sensibilität für Sicherheitsfragen aufbauen.

Organisatorische Maßnahmen können technische Sicherheitsmaßnahmen ergänzen. Sie sollten technische Systeme aber nur dann ersetzen, wenn eine technische Sicherung unverhältnismäßig wäre.

Bauliche Maßnahmen werden ebenfalls im Zusammenhang mit den organisatorischen Maßnahmen behandelt. Sie spielen beim PC-Einsatz nur eine untergeordnete Rolle.

Regelungen sind nicht nur nach gewissen Sicherheitskriterien zu treffen, sondern es ist auch deren Einhaltung zu kontrollieren.

Die Zuordnung der Risiken und Bedrohungen zu den einzelnen Maßnahmen erfolgt nach folgenden Kriterien:

Spielt eine Maßnahme eine ausschlaggebende Rolle bei der Reduzierung eines Risikos, so erfolgt der Verweis in Fettdruck.
Maßnahmen, die zusammen mit anderen ein Risiko einschränken können, werden nicht besonders hervorgehoben.
Es gibt viele weitere Maßnahmen, die zumindest mittelbar dämmenden Einfluß auf ein Risiko haben können. Soweit sie naheliegend sind, wurde ein Verweis auf das Risiko in (Klammern) angebracht.

Manche in 3.1 erwähnte Risiken können in speziellen Einzelfällen und unter bestimmten Voraussetzungen durch weitere Maßnahmen beeinflußt werden, auf die jedoch kein besonderer Hinweis erfolgt.

Die Referenz auf die 10 Kontrollanforderungen (Zehn Gebote), die in Abschnitt 4.1.2 dargestellt werden, benutzt folgende Abkürzungen:

ZG	Zugangskontrolle	ÜB	Übermittlungskontrolle
DT	Datenträgerkontrolle	EG	Eingabekontrolle
SP	Speicherkontrolle	AU	Auftragskontrolle
BE	Benutzerkontrolle	TR	Transportkontrolle
ZF	Zugriffskontrolle	OR	Organisationskontrolle

Personelle Maßnahmen

Nr.	"Zehn Gebote"	Maßnahme	Erläuterung	Risiko
M01	OR	Personalauswahl	Eine sorgfältige hinsichtlich der Qualifikation und Zuverlässigkeit der Mitarbeiterinnen und Mitarbeiter sowie die	R05, R06, (R08), (R09), R20
M02	OR	Qualifizierung der Benutzer	sowohl in der fachbezogenen Anwendung der Systeme als auch in bezug auf Datenschutz und Datensicherheit im täglichen Umgang mit dem System sind wichtige Voraussetzungen für den datenschutzgerechten Einsatz der PCs.	R07, R08, R09, R10, R21
Organisatorische Regelungen
Nr.	"Zehn Gebote"	Maßnahme	Erläuterung	Risiko
M03	alle, insb. OR	Regelungen zur Verantwortungsverteilung, zu Zuständigkeiten, zu Befugnissen, zu sicherheitsrelevanten Abläufen.	Voraussetzung für den datenschutz- und sicherheitsgerechten PC-Einsatz ist ein sinnvolles Regelwerk mit	R09, R10, (R16), (R18)
M04	ZG	Regelungen über den Zugang an den PC,	Vor allem sind die Rahmenregelungen für die Umsetzung der technisch-organisatorischen Maßnahmen des Datenschutzes hier bedeutsam, nämlich die	R05, R06, R07, R20, R22, R24
M05	ZG	Raumverschluß, Schlüsselverwaltung,		R05, R06, R07, R20, R22
M06	DT, SP	den Umgang mit Datenträgern,		R05, R06, R12, R14, R16, R17, R20, R21, R28
M07	DT, SP	den Umgang mit Listen,		R06, R20, R26, R27
M08	SP, OR	die Löschung von Datenträgern und Vernichtung von Listen,		R21, R26, R27
M09	SP, BE, ZF, EG	den Umgang mit Paßwörtern,		R11, R18, R22, R23, R28, R29
M10	ZF	Zugriffsberechtigungen,		R11, R23, R28, R29
M11	OR	die Systemverwaltung,		R08, R09, R10, R18
M12	OR	die Durchführung der Datensicherung,		R01, R02, R03, R05, R06, R08, R12, R14, R15, R17, R18, R19, R20
M13	TR	die Durchführung des Datenträgeraustausches,		R12, R16, R17, R28, R31
M14	ÜB, TR	die Durchführung von Datenübertragungen und deren Adressaten,		R29, R30, R31
M15	alle insb. OR	die Vertretung der einzelnen Funktionsträger,		R04
M16	OR	Dokumentationen und Aufzeichnungen,		R04, R10
M17	ÜB, EG, OR	den Umgang mit Protokollen,		R11, R16, R18, R22, R23, R28, R29
M18	ZG, OR	die Raumreinigung,		R05, R06, R07, R16, R20, R22, R24, R26, R27
M19	ZG, DT, BE, ZF, OR	die Wartung,		R11, R16, R18, R22, R23, R28, R29
M20	OR	das Vorgehen bei Systemstörungen,		R03, R08, R12, R13, R14, R15, R17, R19
M21	OR	das Verhalten in Unglücks- und Havariefällen,		R01, R02, R03
M22	OR	Ansprechpartner in besonderen Situationen	wie z.B. beim Auftreten von Störungen oder sicherheitsrelevanten Ereignissen.	vor allem: R01, R02, R03, R04, R05, R06, R12, R13, R17, R20
Organisatorische Maßnahmen
Nr.	"Zehn Gebote"	Maßnahme	Erläuterung	Risiko
M23	SP	Aufstellung der Bildschirme und Drucker	Befindet sich der PC in Räumen mit Publikumsverkehr, ist die so zu wählen, daß es den Besuchern nicht möglich ist, Einsicht in schutzbedürftige Daten zu erhalten.	R24, R25, R26, R27
M24	DT	eindeutige Kennzeichnung beweglicher Datenträger	Eine (Disketten, Kassetten) sowie eine	R06, R16, R20
M25	DT	aktuelle, vollständige Auflistung beweglicher Datenträger	ist erforderlich, wenn auf bewegliche Datenträger nicht verzichtet werden kann. Dies ermöglicht die	R06, R16, R20
M26	DT	regelmäßige Vollständigkeits- und Authentizitätskontrollen der beweglichen Datenträger.		R06, R16, R20
M27	DT, SP	sicherer Verschluß beweglicher Datenträger	Auch ein ist in diesem Zusammenhang selbstverständlich.	R06, R20, R28
M28	TR	sicherer Verschluß der beweglichen Datenträger beim Transport	Werden Datenträger mittels Boten oder Transportunternehmen transportiert, ist ein sowie die	R06, R20, R28
M29	TR	Führung von Transportpapieren	(Empfangsbestätigungen etc.) notwendig.	R06, R20, R31
M30	OR	zentrale Beschaffung von PCs und der zugehörigen Hardwarekomponenten und Software sowie von Datenträgern	Die schützt vor unüberschaubarem Wildwuchs.	R09, (R19)

3.2.2 Wie kann der Schutz der Hardwarekomponenten gewährleistet werden?

Schutz der Hardwarekomponenten ist der Schutz vor Verlust durch Einbruch oder Diebstahl, vor unbefugter Nutzung und Manipulation.

Nr.	"Zehn Gebote"	Maßnahme	Erläuterung	Risiko
M31	ZG	Raumverschluß mit Sicherheitsschloß	Befinden sich wertvolle Geräte, aber insbesondere PCs mit schutzbedürftigen Anwendungen in einem Raum, so ist für die Zeit, in der sich niemand im Raum befindet, der zu gewährleisten.	(R05), R06, R20, R22
M32	ZG	authentifizierende Zugangskontrollsysteme	Denkbar sind auch weitergehende Verfahren wie (karten- oder kennwortgeschützt), die eventuell auch eine	R05, R06, R20, R22
M33	ZG	Zugangsprotokollierung,	erforderlichenfalls auch eine	R05, R06, R20
M34	ZG, DT	Abgangsprotokollierung	ermöglichen.	R05, R06, R20
M35	OR	Einsatz einer USV-Anlage	Der zur unterbrechungsfreien Stromversorgung schützt zumindest vor abrupten Systemzusammenbrüchen, die u.a. auch zu Schäden an den installierten oder eingeschobenen Datenträgern führen können.	R03, R13, (R14), (R19)
M36	DT	Verschluß der Datenträgerlaufwerke	Aus vielen oben und im weiteren beschriebenen Gründen stellt die unbefugte Nutzung von Datenträgerlaufwerken eine besondere Gefahr dar. Zum (Diskettenlaufwerk, CD-ROM) müssen Laufwerksschlösser angeschafft werden. Eine kontrollierte Schlüsselvergabe verhindert den unberechtigten Gebrauch der Laufwerke	R12, R16, R17, (R18), R28
M37	OR	Versiegelung des PC-Gehäuses	Zum Schutz eingebauter Sicherheitskomponenten (Sicherheitskarte, SCSI-Controllerkarte usw.) oder zum Schutz gegen den Einbau z.B. eines unerlaubten Diskettenlaufwerkes sollte eine erfolgen.	R05, R18
M38	BE	Verschluß der Stromversorgung	Der stellt einen einfachen Schutz vor der unbefugte Benutzung des Systems dar. Dies sollte durch verschließbare Stromleisten erfolgen, da ein Kabel sehr leicht beschafft werden kann.	R18, R22
M39	DT, SP, OR	Verschluß oder Versiegelung der externen Schnittstellen	Da unerwünschte periphere Geräte einfach an die parallele oder serielle Schnittstelle angeschlossen werden können, sollte der die ins Auge gefaßt werden.	R05, R12, (R16), R17, R18, R28
M40	DT, SP, OR	Deaktivierung der Schnittstelle	Alternativ ist die mit Hilfe des BIOS (Basic Input Output System) oder mit geeigneten Sicherheitstools in Betracht zu ziehen.	R05, R12, (R16), R17, R18, R28
M41	BE	Benutzung des BIOS-Paßworts	Die stellt einen einfach einzurichtenden Schutz dar, der jedoch relativ einfach zu umgehen ist.	R18, R22
M42	BE	Schlüsselschalter	Ein kann den beiläufigen Zugriff auf den PC verhindern. Allerdings kann dieser Schutz leicht umgangen werden und reicht daher nur bei kurzzeitiger Abwesenheit.	R18, R22

3.2.3 Wie sind Programme gegen unerwünschte Veränderungen zu schützen?

Ist ein Programm zur Nutzung durch die Anwender freigegeben, so müssen sich die Verantwortlichen für den Anwendungsbereich darauf verlassen können, daß Änderungen des Programms unterbleiben bzw. mit ihnen abgestimmt werden (siehe auch Abschnitt 4.2). Änderungen werden notwendig, wenn Fehler zu beseitigen sind, wenn Änderungen der Arbeitsgänge im Anwendungsbereich Programmanpassungen erforderlich machen, wenn die Programmumgebung (Hardware, Systemprogramme etc.) Veränderungen unterworfen ist, die auch zu Änderungen der Anwendungsprogramme führen.

Auch bei Standard- und Systemprogrammen muß man sich vor unliebsamen Überraschungen schützen, die durch ungewollte Änderungen der Programme verursacht werden können.

Wie kommt es zu unerwünschten Programmveränderungen ?

Zunächst ist denkbar, daß Benutzer selbst Programmänderungen vornehmen, vielleicht mit der guten Absicht, Verbesserungen zu erreichen. Immerhin ist der Benutzer meist der erste, der Verbesserungsmöglichkeiten erkennt und sein Wissen dafür einsetzt, seine eigenen Arbeitsabläufe zu optimieren. Dennoch verliert die Freigabeprozedur für Programme, die für verbindlich geregelte Aufgaben eingesetzt werden, ihren Sinn, wenn solche Veränderungen nicht von den Anwendungsverantwortlichen autorisiert werden. Gleiches gilt z.B. auch bei der unautorisierten Installation anderer, vielleicht sogar modernerer Versionen von Standardprogrammen.

Weiterhin kann nicht ausgeschlossen werden, daß Störungen am Gesamtsystem zu zufälligen Veränderungen des Programmcodes oder von Parametern führen können, die ein Anwendungsprogramm fehlerhaft machen.

Nicht zuletzt ist die Wirkung von Programmanomalien (wie z.B. Computerviren) zu beachten, die durch die Infektion von System- und Anwendungsprogrammen zu unerwünschten Änderungen führen, die keineswegs immer gleich bemerkt werden können.

Nr.	"Zehn Gebote"	Maßnahme	Erläuterung	Risiko
M43	OR	Virenprüfung	Werden Programme, Dateien und Dokumente auf Datenträgern, über E-Mail oder Datenübertragungsdienste im Internet empfangen, so müssen sie einer unterzogen werden. Es wird dringend empfohlen, diese Prüfungen auf speziell dafür gewidmeten PCs und mit mindestens zwei unabhängigen und aktuellen Virenprüfprogrammen durchzuführen.	R05, R12, R17, R19
M44	OR	Datensicherung	Um sicherzustellen, daß nach einer unerwünschten Veränderung der Programme, etwa durch Virenbefall, der ursprüngliche und als richtig erkannte Zustand wiederhergestellt werden kann, ist die regelmäßige erforderlich. Die Datenträger der Datensicherung sollten so untergebracht sein, daß sie bei Schadensfällen nicht ebenfalls vernichtet werden.	R01, R02, R03, R05, R06, (R08), R12, R14, R15, R17, R18, R19, R20
M45	OR	Prüfung der Programme gegen unzulässige Änderungen	Die regelmäßig durchgeführte kann Unregelmäßigkeiten bei der Datenverarbeitung rasch beheben. Z.B. kann bei dem Verdacht der Programmanipulation mit Hilfe der Kopie aus der Datensicherung (Backup) oder mit einem Prüfsummenverfahren geprüft werden, ob sich das Programm verändert hat. Auch der Vergleich der Programmlänge mit der des Backups kann Hinweise auf Veränderungen geben.	R05, R12, (R16), R17, R18
M46	OR	selbsterstellte Programme nur in kompilierter bzw. versiegelter Form	Werden den Benutzern im Zuge der Programmfreigabe zur Verfügung gestellt, so sind gezielte Veränderungen der Programme ohne besonderes Spezialwissen kaum noch möglich.	R16, R18
M47	DT	Verzicht auf Datenträgerlaufwerke (--> M71)	Der bei Clients oder zumindest der	R12, R16, R17, (R18), R28
M48	DT	Verschluß oder die Sperrung der Datenträgerlaufwerke (--> M72)	bieten einen sicheren Weg, daß keine unautorisierten Programmversionen oder Tools zur Manipulation der Programme installiert und ausgeführt werden können.	R12, R16, R17, (R18), R28
M49	DT	sichere Unterbringung (--> M73)	Die und	R01, R02, R03, R05, R06, R16, R20, R28
M50	DT, OR	Verwaltung der beutzten Datenträger (--> M74)	dient u.a. auch der Vorbeugung unautorisierter Programmveränderungen.	R06, R16, R20, R28
M51	DT, OR	sichere Hinterlegung der Datenträger mit Originalsoftware (einschließlich der Sicherungskopien),	Dies gilt insbesondere für die damit der Arbeitsbetrieb schnellstmöglich wieder aufgenommen werden kann, wenn eine unerwünschte Programmveränderung aufgetreten ist.	R01, R02, R03, R06, R12, R14, R17, R20

3.2.4 Wie sind Programme gegen unberechtigte Nutzung zu schützen?

Die Nutzung von IT-Systemen erfolgt mit der Nutzung von Programmen. Wird dies verhindert, wird umgekehrt auch die Nutzung der Systeme verhindert. Andererseits soll möglicherweise nicht jeder befugte Benutzer auch zur Nutzung jedes Programms in einem System berechtigt sein. Zum Schutz vor der unberechtigten Nutzung von Programmen sind also Maßnahmen zu ergreifen:

Nr.	"Zehn Gebote"	Maßnahme	Erläuterung	Risiko
M52	ZG, SP, BE, ZF, EG	Identifizierung und Authentifizierung der Benutzer (--> M63)	Mit dem Einsatz spezieller Sicherheitssysteme, die die ermöglichen, kann das System prüfen, ob jemand berechtigt ist, mit dem System zu arbeiten, also die in ihm enthaltenen Programme zu nutzen. Die Identifizierung erfolgt im Normalfall durch die Angabe einer Benutzerkennung. Zum Nachweis der Identität erfolgt die Authentifizierung.	R11, (R16),(R18), R22, R23, (R28), (R29)
M53	BE, ZF	organisatorisch festgelegte Benutzerprofile in differenzierte Zugriffsberechtigungen umsetzen (--> M64)	Wenn diese Tools können, kann für jedes Programm systemseitig geprüft werden, ob ein ansonsten befugter Systembenutzer auch zur Nutzung bestimmter Programme berechtigt ist.	R11, (R16),(R18), R23, (R28), (R29)
M54	ZG, SP, BE, ZF, EG	Einsatz von Paßwortverfahren.	Die Authentifizierung der Benutzer erfolgt gewöhnlich durch den	R11, R18, R22, R23, R28, R29
M55	OR	sicherheitsbewußter und datenschutzgerechter Umgang mit Paßwörtern (siehe Anlage 2).	Zu verlangen ist ein	R09
M56	ZG, SP, BE, ZF, EG	Einsatz von maschinenlesbaren Benutzerausweisen, z.B. Chipkarten,	Auch der	R11, R18, R22, R23, R28, R29
M57	ZG, SP, BE, ZF, EG	Einsatz von biometrischen Verfahren	oder der kann für die Authentifizierung verwendet werden.	R11, R18, R22, R23, R28, R29
M58	ZF	Verhinderung des direkten Aufrufs von Betriebssystemkommandos durch den Benutzer,	Besonders wichtig ist die vor allem bei PC-Betriebssystemen wie z.B. MS-DOS.	R05, R11, (R16), R18, R23
M59	ZF	Schutz der Betriebssystemoberfläche	Ohne den vor unbefugter Nutzung können alle anderen systemseitigen Sicherheitsvorrichtungen umgangen und/oder beseitigt werden.	R05, R11, (R16), R18, R23
M60	BE	Bootschutz	Das o.g. Sicherheitssystem muß über das bisher dargestellte hinaus auch über einen verfügen, da sonst - sofern Laufwerke verfügbar sind - die Sicherheitsvorkehrungen des installierten Systems durch das Einspielen eines ungeschützten Betriebssystems von einem externen Datenträger umgangen werden können.	R18, R22
M61	ZF	Verhindern der Unterbrechung von Start- und Ladevorgängen,	Auch das z.B. von Treibern, Sicherheitstools und der Betriebssystemoberfläche, hilft gegen das Umgehen von Sicherheitseinrichtungen.	R05, R11, (R16), R18, R23
M62	ZF	Protokollierung der Programmnutzung	Die kann zur nachträglichen Überprüfung herangezogen werden, bedarf aber ebenfalls spezieller Programme, weil die PC-Betriebssysteme eine Protokollierung nicht vorsehen.	(R05),(R10), R11, R16, R18, R22, R23

3.2.5 Wie sind die Daten vor unbefugtem Zugriff zu schützen?

Um die Vertraulichkeit von schutzwürdigen Daten, insbesondere von personenbezogenen Daten, zu gewährleisten, müssen Unbefugte daran gehindert werden, die Daten zur Kenntnis nehmen zu können. Um ihre Verfügbarkeit und Integrität sicherstellen zu können, müssen Unbefugte auch daran gehindert werden, die Daten zu löschen oder zu verändern.

Nr.	"Zehn Gebote"	Maßnahme	Erläuterung	Risiko
M63	ZG, SP, BE, ZF, EG	Identifizierung und Authentifizierung der Benutzer (--> M52)	Die dient natürlich auch dem Schutz der Daten, denn es müssen Befugte und Unbefugte durch das System unterschieden werden können. An die Identifizierung und Authentifizierung sind im Normalfall Zugriffsrechte auf bestimmte Datenbestände gekoppelt. Hat sich der Benutzer gegenüber dem System authentifiziert, erlangt er dadurch die Berechtigung, auf Daten zuzugreifen, für die er eine Zugriffsberechtigung besitzt.	R11, (R16),(R18), R22, R23, (R28), (R29)
M64	BE, ZF	Umsetzung organisatorisch festgelegter Benutzerprofile in differenzierte Zugriffsberechtigungen (--> M53)	Auch für die Daten ist daher die notwendig.	R11, (R16),(R18), R23, (R28), (R29)
M65	EG	Protokollierung von Dateneingaben, -änderungen und -löschungen	Die macht es möglich, versehentliche oder absichtliche Datenänderungen nachzuvollziehen.	(R11), R18, R23
M66	ZF	Protokollierung von Datenabrufen	Die ist zumindest bei sensiblen Daten ein geeignetes Instrument für die Verfolgung unbefugter Datenzugriffe.	(R11), R23
M67	SP, TR	Verschlüsselung der Daten auf beweglichen Datenträgern	Die dient der Vertraulichkeit und Integrität der Daten während der Aufbewahrung und des Transports.	R06, R20, R30
M68	SP, ZF	Verschlüsselung der Daten auf Festplatten (--> M79)	Die ist besonders geeignet, um z.B. im Falle der Entwendung eines Computers den Schutz der Daten zu gewährleisten. Werden verschiedene Dateien mit unterschiedlichen Schlüsseln auf der Festplatte verschlüsselt, dient dies auch dem differenzierten Zugriff auf die Daten. Mit dieser Maßnahme können die Daten auch gegenüber Systemverwaltern vertraulich gehalten werden.	R06, R20, R22, (R28), (R29)
M69	TR	Verschlüsselung der Daten auf Übertragungsstrecken	Die ist sogar die einzig sinnvolle Maßnahme zum Schutz der Daten bei der Datenübertragung, denn es ist meist nicht möglich, die Leitungen physikalisch gegen Abhören zu sichern. Die Verschlüsselung ist also eine universelle Maßnahme, um Daten vor der unberechtigten Kenntnisnahme durch Unbefugte zu schützen. Hinsichtlich der Stärke des Verschlüsselungsalgorithmus ist der DES (Data Encryption Standard) dann hinreichend, wenn nicht davon ausgegangen werden muß, daß Angreifer großen Aufwand zur Entschlüsselung treiben werden. Ansonsten empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Nutzung von Triple-DES. Das im Internet weitverbreitete PGP-Verfahren (pretty good privacy) ist kostenlos erhältlich und gilt als "ausreichend" sicher.	R30
M70	ÜB	Protokollierung der Datenübertragung	Die dient der Kontrolle, welche Daten von wem wann wohin übertragen worden sind.	R29, R31
M71	DT	Verzicht auf Datenträgerlaufwerke (--> M47)	Der	R12, R16, R17,(R18), R28
M72	DT	Verschluß der Datenträgerlaufwerke (--> M48)	oder der ist eine sinnvolle Maßnahme, um das unberechtigte Kopieren von Daten auf Datenträger direkt am PC zu verhindern.	R12, R16, R17,(R18), R28
M73	DT	sichere Unterbringung (--> M49)	Die	R01, R02, R03, R05, R06, R16, R20, R28
M74	DT, OR	Verwaltung der benutzten Datenträger, (--> M50),	und die dient ebenfalls der Vertraulichkeit der Daten.	R06, R16, R20, R28
M75	DT, SP	physikalische Löschung von Datenträgern	Die ist dann zu verlangen, wenn sie als "leere" weitergegeben oder entsorgt werden sollen.	R21, R28
M76	SP, BE, ZF	Bildschirmsperre	Bei kurzzeitigem Verlassen des Raumes sollte eine paßwortgeschützte (Bildschirmschoner) aktiviert werden. Diese verhindert bei kurzzeitiger Abwesenheit die unbefugte Nutzung des PCs. Sinnvoll ist auch eine automatische Aktivierung der Sperre nach einer kurzen Zeitspanne.	R11, R22, R23, R24, R25
M77	SP	Abschirmung oder Störung elektromagnetischer Abstrahlung	Wenn die kompromittierende Abstrahlung in Betracht zu ziehen ist, ist die vorzusehen.	R25

3.2.6 Welche Schutzmaßnahmen sind insbesondere bei tragbaren Computern zu beachten?

Viele Einsatzgebiete für PCs verlangen heutzutage Mobilität und Flexibilität. Um diesen Anforderungen nachzukommen, werden immer häufiger tragbare Computer eingesetzt.

Doch gerade der tragbare PC (Laptop, Notebook, ...) ist besonderen Gefährdungen ausgesetzt.

Die oben für PCs beschriebenen Maßnahmen gelten natürlich auch für tragbare Systeme. Daher soll hier nur auf die Besonderheiten eingegangen werden.

Nr.	"Zehn Gebote"	Maßnahme	Erläuterung	Risiko
M78	ZG	Diebstahlschutz	Ein tragbarer Computer kann leichter verloren gehen oder gestohlen werden. Es sind also die üblichen Vorkehrungen für einen wirksamen zu treffen. Dies gilt für die Aufbewahrung, wenn er nicht im Gebrauch ist, bei der Verwendung im Außendienst, für die Aufbewahrung im Kraftfahrzeug, bei Dienstreisen usw.	R06, R20
M79	SP, ZF	Verschlüsselung der Daten auf der Festplatte (--> M68)	Um die Vertraulichkeit der Daten auch dann zu gewährleisten, wenn der tragbare PC unbeaufsichtigt ist oder in die Hände Unbefugter geraten sein sollte, ist bei solchen Systemen die unbedingt erforderlich.	R06, R20, R22, (R28), (R29)
M80	OR	Verplombung des Gehäuses	Tragbare PCs sind in der Regel modular aufgebaut, so daß die Hardwarekonfiguration sehr flexibel anderen Anforderungen angepaßt werden kann. Dies bedeutet aber auch, daß die Hardware leicht manipuliert werden kann, z.B. Bauteile entnommen werden können. Es ist daher eine zu empfehlen.	R05, R18
M81	OR	kontrollierte Ausgabe und Verwaltung	Beim professionellen Einsatz von tragbaren Computern ist von der anwendenden Institution eine zu gewährleisten.	R05, R06, R20
M82	OR	Geräteverantwortung	Die sollte bei einem mit besonderen Rechten ausgestatteten Systemverwalter liegen.	R05, R09, R10, (R16)
M83	SP, BE, ZF	sicherheitsrelevante Einstellungen	Er kann im BIOS (z.B. Sperrung des Diskettenlaufwerkes oder der Schnittstellen) vornehmen.	R11, R16, R18, R23, R28

Im übrigen sind bei tragbaren Systemen die Gefährdungen und Risiken bei Diskettenlaufwerken und Schnittstellen durch Virenverseuchung, usw. ebenso relevant wie bei "normalen" PCs. Diese Bedrohungen und die dagegen zu treffenden Maßnahmen wurden schon in anderen Abschnitten behandelt. Daher soll hier nicht mehr besonders darauf eingegangen werden.

3.2.7 Welche Schutzmaßnahmen sind insbesondere bei Clients zu beachten?

Mit dem Begriff Client werden Arbeitsplatzcomputer bezeichnet, mit denen auf Ressourcen von Servern im Rahmen von Client-Server-Netzen zugegriffen werden kann. Generell verfügen Clients über alle Funktionalitäten und Gefährdungspotentiale wie Einzelplatz-PCs. Es sollten daher auch die gleichen Schutzmaßnahmen getroffen werden.

Durch eine gemeinsame Ressourcennutzung ergeben sich neue Schutzmöglichkeiten:

Nr.	"Zehn Gebote"	Maßnahme	Erläuterung	Risiko
M84	Sp, BE, ZF, EG	Benutzerverwaltung mit Identifizierung und Authentifizierung der Benutzer	Im Gegensatz zu den PC-Betriebssystemen bieten Netzwerkbetriebssysteme eine an. Damit kann man u.U. auf den Einsatz spezieller Sicherheitssysteme verzichten, da eine individuelle Rechtevergabe und dazu Kontrolle realisiert werden kann. Da die Eingabe großer Datenmengen und Programme über das Netz erfolgen kann, sind Laufwerke für bewegliche Datenträger am Client in der Regel überflüssig.	R11, (R18), R22, R23, (R28), (R29)
M85	DT	Verzicht auf Laufwerke für bewegliche Datenträger	Der (Diskless-PC) sollte wegen der vielfältigen Risiken solcher Geräte daher obligatorisch sein. Dies gilt insbesondere für Disketten- und Kassettenlaufwerke.	R12, R16, R17, (R18), R28
M86	DT	Einsatz spezieller Clients mit verschließbaren Laufwerken	Wenn der Datenaustausch mit externen Systemen nicht über den Server erfolgen kann, ist der (eine Art "Datenschleuse") vorzusehen, die nur durch speziell privilegierte Benutzer bedient werden können, wobei	R12, R16, R17, (R18), R28
M87	DT	Protokollierung des Umgangs mit beweglichen Datenträgern	eine erfolgen sollte.	R12, R16, R17, (R18), R28
M88	SP	Verzicht auf die Festplatte	Der Sicherheit dienlich wäre auch der (Medialess-PC), jedoch wird dies von derzeit verbreiteten PC-Betriebssystemen nicht unterstützt.	R16, R18
M89	SP	zentrale Softwareversorgung	Es kann eine erfolgen, um den Risiken unerwünschter Softwaremodifikationen entgegenzutreten.	R11, R18, R23

Zur zentralen Softwareversorgung sind folgende Hinweise zu geben:

Grundsätzlich gibt es drei Arten der Softwareverteilung:

Der Client bezieht seine gesamten Daten, incl. der Anwendungssoftware, aus dem Netz (vorwiegend Medialess APC).

Der Client hält Teile der Anwendungssoftware und/oder des Betriebssystems lokal vor, alle weiteren Daten befinden sich im Netz.

Der Client besitzt eine vollständige lokale Installation der benötigten Software, die verarbeiteten Daten werden im Netz gespeichert.

Prinzipbedingt bietet Variante a) den bestmöglichen Schutz, da Änderungen der Nutzer am Client mit jedem Neustart unwirksam werden. Die zentrale Systemadministration hat so die bestmögliche Kontrolle.

Die Varianten b) und c) können aus der Sicht des Datenschutzes zusammengefaßt werden. Um eine optimale Sicherheit zu erhalten, sollten folgende Maßnahmen getroffen werden:

Der Startvorgang darf nicht abbrechbar oder veränderbar sein.
Der Zugriff auf das Betriebssystem hat sich auf den zwingend erforderlichen Umfang zu beschränken, besser ist es, auf den Zugriff auf die Betriebsystemebene ganz zu verzichten.
Es erfolgt eine starre Nutzerführung durch Masken und spezielle Bedienoberflächen.
Es sind ausschließlich autorisierte Programme zu verwenden.
Bedienungsfehler sind durch Plausibilitätsprüfungen zu unterbinden bzw. einzuschränken.
Eine lokale Datenhaltung sollte unterbleiben.

Systembedingt senden APCs grundsätzlich keine Informationen über ihren Zustand an eine "zentrale Stelle". Durch spezielle Softwareverteilungswerkzeuge können APCs kontrolliert und zentral administriert werden.

3.2.8 Welche Schutzmaßnahmen sind insbesondere bei Servern zu beachten?

PCs sind inzwischen so leistungsfähig, daß sie verstärkt auch als Server zum Einsatz gelangen. Die zu treffenden Schutzmaßnahmen unterscheiden sich in keiner Weise von anderen Serversystemen.

Es werden zwei Arten von Servern unterschieden:

Non dedicated (ungewidmeter) Server
Ein solcher Server kann zusätzlich als APC genutzt werden. Viele Netzwerkbetriebssysteme unterstützen diese Betriebsweise. Vorteil dieses Servertyps sind die geringeren Realisierungskosten, die sich aus der Doppelfunktionalität (Client und Server) begründen.
Der Einsatz eines Non-dedicated-Servers birgt erhebliche Risiken, die dem Einsatz bei der Verarbeitung schutzbedürftiger Daten entgegenstehen:
- Einige Betriebssysteme verfügen über keinerlei Schutzeinrichtungen bei lokaler Verwendung. Darunter fallen fast alle Betriebssysteme, die sog. Peer-to-Peer-Netzwerke unterstützen [Peer-to-Peer-Netzwerke bestehen aus APC, die untereinander auf ihre Resourcen zugreifen].
- Das Ausfallrisiko erhöht sich gravierend. Die Benutzung von Anwendungen während des Serverbetriebs kann durch Programm- und/oder Bedienfehler zu Störungen im Arbeitsablauf anderer Teilnehmer bis hin zum Datenverlust führen.
- Die notwendige Zugangskontrolle ist nicht in ausreichender Form realisierbar (s. Zugangskontrolle beim dedicated Server), da nur Schutzmaßstäbe des Client-APC angelegt werden können.

Dedicated (gewidmeter) Server
Dieser Servertyp stellt ausschließlich Druck- und Dateidienste (Print- und Fileservices) sowie die Benutzerverwaltung bereit. Je nach Anwendungsgebiet können sich die Dienste auch auf eine Teilmenge der o.g. Funktionen beschränken.
Meist sind eine Vielzahl von Nutzern von den bereitgestellten Serverdiensten abhängig. Es sollten somit höhere Anforderungen an die Ausfallsicherheit gestellt werden.

Nr.	"Zehn Gebote"	Maßnahme	Erläuterung	Risiko
M90	ZG, OR	Unterbringung in einem gegen Brand und Einbruch gesicherten Serverraum	Ein Server muß nicht in einem allgemein zugänglichen Raum stehen. Seine ist daher geboten.	R01, R02, R05, R06, R20, R22
M91	ZG	Zugangsregelungen	Es sind zu treffen, die den Zugang auf die Mitarbeiter der Systemverwaltung beschränken.	R05, R06, R07, R20, R22
M92	ZG	Beschränkung des Zugangs	Die Arbeit der Systemverwaltung sollte so organisiert werden, daß eine auf das unbedingt erforderliche Maß möglich ist.	R05, R06, R07, R20, R22
M93	ZG	Maßnahmen der Zugangskontrolle (--> M31-M34)	Bzgl. der wird auf Abschnitt 3.2.2 verwiesen.	R05, R06, R07, R20, R22
M94	OR	Sicherung der unterbrechungsfreien Stromversorgung	Maßnahmen zur	R03, R13, R14, R19
M95	OR	Schutz gegen Spannungsschwankungen	und zum sind bei Servern von besonderer Bedeutung.	R03, R13, R14, R19
M96	OR	regelmäßige Datensicherung	Eine ist zwingend erforderlich,	R01, R02, R03, R05, R06, R08, R12, R14, R15, R17, R18, R19, R20
M97	BE, ZF	Paßwortschutz für das Booten des Servers.	ebenso der	(R16), R18, R22
M98	SP, BE, ZF	paßwortgeschützte Bildschirmsperre	Auch beim Server sollte es eine geben.	R11, R22, R23, R24, R25
M99	DT, SP	Vernichtung defekter Datenträger, vor allem Festplatten,	Die hat zu erfolgen, wenn die schutzbedürftigen Daten unverschlüsselt sind und eine Reparatur vor Ort nicht möglich ist. Dies gilt auch, wenn für das defekte Gerät noch Garantieansprüche bestehen sollten.	R21, R28
M100	SP, ZF, OR	Überwachung des externen Wartungspersonals	Die kann vor unliebsamen Überraschungen schützen.	R05, R06, R09, R11, R16, R18, R20, R22, R23, R28
M101	SP, ZF, OR	Kontrolle der Fernwartung	Sofern man nicht aus Sicherheitsgründen ganz auf sie verzichten mag, ist die unter Beachtung der Orientierungshilfe der Datenschutzbeauftragten des Bundes und der Länder für die Fernwartung (siehe Literaturhinweis) zwingend erforderlich.	R09, R11, R18, R22, R23, R28, R29

Wie ist der technisch-organisatorische Datenschutz zu gewährleisten?

Letzte Änderung:
am 06.07.98

Datenschutz und informationstechnische Sicherheit bei PCs

Gegen welche Bedrohungen und Risiken müssen die PC's geschützt werden?

Wie wird der PC gegen die Bedrohung geschützt? Wie werden die Risiken verringert?

Datenschutz und
informationstechnische Sicherheit
bei PCs