Anforderungen werden hier - soweit dies möglich ist - auf der Basis eines zweistufigen Grundschutzkonzepts formuliert. Die Grundschutzmassnahmen sollen einen Mindest-Sicherheitsstandard garantieren, der es ermöglicht, personenbezogene Daten mit einem geringen Schutzbedarf unter Windows NT zu verarbeiten. Falls sensible personenbezogene Daten gespeichert werden, beispielsweise medizinische Daten, Sozialdaten oder Personaldaten, ist es notwendig, über die Grundschutzmassnahmen hinaus zusätzliche Massnahmen zu treffen.
Die Grundschutzmassnahmen richten sich weitgehend gegen den Missbrauch personenbezogener Daten durch Externe (externer Missbrauch). Als Externe gelten aus Sicht einer Organisation nicht nur Aussenstehende, sondern auch diejenigen Benutzer, die für eine Anwendung oder die Nutzung eines Datenbestandes nicht autorisiert sind. Grundschutzmassnahmen sind daher nicht gegen den zugriffsberechtigten Benutzer gerichtet. Die zum Schutz sensibler Daten erforderlichen Zusatzmassnahmen sind darüber hinaus in der Lage, personenbezogene Daten vor unberechtigter Weitergabe oder missbräuchlicher Nutzung durch Interne zu schützen, d.h. auch durch die jeweils berechtigten Benutzer (interner Missbrauch).
Zunächst ist es notwendig, sämtliche Benutzer eindeutig zu identifizieren. Nur wenn die Identität eines Benutzers zweifelsfrei feststeht, können an den Benutzer gekoppelte Berechtigungsprofile greifen. Die zweifelsfreie Authentisierung setzt geeignete Mechanismen wie Passworteingabe, den Besitz einer Chipkarte oder biometrische Verfahren voraus.
Um zu verhindern, dass Passwörter erraten oder ausspioniert werden, sollten die verwendeten Passwörter regelmässig und automatisiert auf ihre Mindestlänge, ihre begrenzte zeitliche Gültigkeit, ihre Ungleichheit mit vorherigen Passwörtern und ihre Nicht-Trivialität überprüft werden. Es sollten ausschließlich individuelle Passwörter und keine Gruppenpasswörter verwendet werden; auch sollten die Passwörter nicht dem Systemverwalter bekannt sein. Passwörter die beispielsweise im Vertretungsfall Dritten bekannt geworden sind, sollten unverzüglich geändert werden.
In Client-Server-Umgebungen kann sich der Benutzer entweder lokal oder gegenüber dem Netz authentisieren. Dabei sollte das Ergebnis der lokalen Authentisierung - ihre Wirksamkeit vorausgesetzt - fälschungssicher an andere Netzrechner weitergegeben werden können. Hierdurch wird verhindert, dass der Benutzer auf jeder Systemebene ein separates Passwort verwenden muss. Mehrere Passwörter erhöhen weder die Gesamtsicherheit des Systems noch sind sie benutzerfreundlich - die Sicherheit der Systeme wird vielmehr reduziert. Welcher Benutzer kann sich schon drei verschiedene, regelmässig zu ändernde Passwörter merken? Werden jedoch auf allen Ebenen iden-tische Passwörter benutzt, ist das Gesamtsystem nur so sicher wie seine schwächste Authentisierungskomponente.
Falls beim Mehrbenutzer-Betrieb mehrere Personen mit unterschiedlichen Arbeitsaufgaben auf einen Rechner zugreifen, sollten die Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Verzeichnisse und Dateien anderer Benutzer sollten weder gelesen noch verändern werden können. Zugriffsrechte sollten daher auf Verzeichnis- und Dateiebene sowohl für einzelne Benutzer als auch für Benutzergruppen abgestuft vergeben werden können, möglichst noch differenziert nach Lese-, Schreib- und Ausführungsrechten. Im Einbenutzerbetrieb kann dagegen auf die differenzierte Vergabe von Zugriffsrechten verzichtet werden. Hier reicht es aus, den unberechtigten Zugriff auf das System insgesamt zu verhindern.
Zugriffsrechte sollten im Client-Server-Betrieb arbeitsplatzbezogen an ein bestimmtes Endgerät oder eine Gruppe von Endgeräten gebunden werden können. Zudem sollte es möglich sein, die Zugriffsberechtigung zeitlich einzuschränken und die Zahl der Anmeldungen pro Benutzerkennung zu begrenzen. Dem Systemverwalter sollte trotz seines privilegierten Status der Zugriff auf personenbezogene Daten verwehrt werden können.
Benutzer sollten nur einen beschränkten Zugriff auf Betriebssystemressourcen erhalten. Diskettenlaufwerke, CD-ROM-Laufwerke, serielle und parallele Schnittstellen sollten nur insoweit benutzt werden können, wie dies zur Aufgabenerledigung erforderlich ist.
Systemressourcen sollten auch den Systemverwaltern nur soweit zur Verfügung gestellt werden, wie dies für die jeweilige Aufgabe notwendig ist. Tätigkeiten wie beispielsweise das Einrichten von Benutzern, das Ändern von Passworten bzw. das Erstellen von Tagessicherungen benötigen keine privilegierten, allumfassenden Zugriffsrechte. Uneingeschränkter Betriebssystemzugriff sowie der Zugriff auf weitere Betriebsmittel wie Compiler und Debugger ist dagegen nur für die wenigsten Systemverwaltertätigkeiten notwendig.
Um vor Diebstahl geschützt zu sein, sollten sensible personenbezogene Daten auf wechselbaren Datenträgern verschlüsselt gespeichert werden. Auf der Festplatte hinterlegte Daten sollten dann verschlüsselt werden, wenn das Risiko besteht, dass entweder die Festplatte oder der gesamte PC entwendet werden (z.B. bei Laptops).
Sofern sensible personenbezogene Daten über öffentliche Netze übertragen werden, ist es in jedem Fall notwendig, die Daten verschlüsselt zu übertragen. Die Verschlüsselung der Daten kann entweder auf Übertragungsebene, auf Netzwerkebene oder auf Anwendungsebene erfolgen. Bei der Verbindungsverschlüsselung werden die Daten nur zwischen bestimmten Netzwerkrechnern ungeachtet des Absenders oder Empfängers chiffrieren. Verfahren zur Ende-zu-Ende-Verschlüsselung chiffrieren die Daten dagegen auf der gesamten Strecke zwischen Absender und Empfänger und benutzen dabei individuelle Schlüssel.
Es sollten sowohl sicherheitsrelevante Benutzer- als auch Systemaktivitäten protokolliert werden. Sicherheitsrelevante Benutzeraktivitäten sind vor allem fehlgeschlagene Anmeldeversuche, Zugriffe auf Dateien mit sensiblen personenbezogenen Daten, der Aufruf bestimmter Programme, die zur Auswertung personenbezogener Daten benötigt werden, versuchte Rechteüberschreitungen, das Kopieren auf externe Datenträger sowie Datenübermittlungen. Sicherheitsrelevante Systemaktivitäten, die in der Regel vom Systemverwalter mit privilegierten Zugriffsrechten ausgeführt werden, sind das Einrichten von Benutzerkennungen bzw. -gruppen, das Ändern von Passwörtern, die Freigabe von Programmversionen sowie das Modifizieren von datensicherungstechnisch relevanten Systemparametern.
Es sollte darauf geachtet werden, dass die Protokolldaten nicht unbemerkt verändert oder gelöscht werden können, auch nicht durch den Systemverwalter. Da die Protokolle u.a. zur Transparenz der Systemverwaltung dienen, sollten die Protokolldaten von Personen ausgewertet werden, die nicht direkt für die Systemverwaltung verantwortlich sind. Die Auswertung der Protokolle sollte möglichst nach dem Vier-Augen-Prinzip in Anwesenheit zweier Personen durchgeführt werden, die sich beide gegen-über dem System authentisieren müssen. Um Bedenken von Arbeitnehmervertretern auszuräumen, dass Protokolle nicht nur zur Systemrevision, sondern auch zu Leistungs- und Verhaltenskontrollen zweckentfremdet genutzt werden, kann es sinnvoll sein, an der Protokollauswertung entweder Vertreter des Personal- oder Betriebsrats oder den betrieblichen Datenschutzbeauftragten zu beteiligen.
Zurück zur Übersicht Windows NT
