© complize, photocase.com

Je vernetzter die Technik, umso mehr Daten fließen in die Hände Dritter. Dieser Artikel erklärt, wie und wo Daten unnötig in die Umwelt entweichen und was jedermann dagegen tun kann, tun sollte.

“Ich habe ja nichts zu verbergen”. Dass dieser Satz ebenso falsch wie töricht ist, gilt in einer Demokratie eigentlich als selbstverständlich. Die Wirtschaft sorgt sich sowieso, Wettbewerbern nichts über die eigenen Pläne zu verraten. Da reicht oft schon zu wissen, wer mit wem überhaupt kommuniziert, um Konkurrenten zuvorzukommen. Auch im Privatleben ist der sparsame Umgang mit persönlichen Angaben selbstverständlich – kaum jemand erzählt Wildfremden ungefragt seine Lebensgeschichte und wenn doch, interessiert diese das Gegenüber meist nicht.

In der vernetzten Welt ist die Lage anders. Nie war es so einfach wie heute, sich Informationen über Menschen, Firmen und Behörden in der Nachbarschaft oder am Ende der Welt zu verschaffen. Sind die Einzelinformationen noch meist wertlos, führt deren Korrelation (siehe Artikel auf Seite 36) zu einem viel genaueren Abbild als der Untersuchte vermutet. Wie weit die Datenkorrelation gehen kann, zeigt auch der für Internetwerbung gedachte Phorm-Dienst [1]. Über sein Open Internet Exchange will er – angeblich pseudonymisierte – Daten über das Verhalten der Internet-User sammeln und verwerten.

Ins Gesamtbild passt, dass soziale Netzwerke ihren Mitgliedern intime Details aus dem Privatleben entlocken, Blogger fröhlich Firmeninterna ausplaudern, Suchmaschinen sich merken, wer wann was gesucht hat, und selbst demokratische Staaten hemmungslos ihrer Datensammelwut nachgehen, unter wechselnden argumentativen Deckmäntelchen (siehe Seiten 25, 26 und 88). Bei der automatischen Kfz-Kennzeichenerfassung und -auswertung hat jüngst das Bundesverfassungsgericht immerhin die Hürden erhöht, gänzlich verboten hat es diese Überwachungstechnik freilich nicht. Ähnlich ist die Lage beim Überwachen der Telekommunikations.

Doch es muss gar nicht der Staat sein, der erfahren will, welcher seiner Bürger gerade was treibt. Die Mobilfunkbetreiber wissen sehr genau, wer wann wo sein Handy einschaltet. Location-based Services geben diese Informationen gar an Dritte weiter, die den wissensdurstigen Vieltelefonierer zum nächsten Museum lotsen oder ihm helfen ein verlorenes oder geklautes GSM-Gerät wiederzufinden. Leider sind damit auch detailreiche Bewegunsprofile erstellbar. Ähnlich die kommende Gesundheitskarte, die medizinische Details speichert. Die Liste ließe sich beliebig fortsetzen, zum Beispiel mit fehlerhaft programmierten Online-Applikationen (siehe Kasten “Daten der ADAC-Mitglieder ausspähbar”).

Wer dem schleichenden Verlust seiner Privatsphäre und den allgegenwärtigen Datenlecks im Unternehmen entgegenwirken will, darf nicht allein auf Politik und Großkonzerne schimpfen. Auch helfen einzelne Anonymisierungsprodukte wenig, die nur punktuell Löcher stopfen. Viel wichtiger ist eine systematische Analyse aller Kommunikationsbeziehungen und weiterer IT-Datenlecks, auf die jeder Einzelne direkten Einfluss hat.

Daten der ADAC-Mitglieder ausspähbar

Bei Recherchen fanden Redakteure des Linux-Magazins in den Sicherheitsmechanismen der ADAC-Webseite [6] eine Lücke, die es Dritten erlaubt, die Daten eines Mitglieds auszulesen. Wenn er eine ADAC-Karte in seinen Besitz gebracht hat oder auch nur die darauf aufgedruckten Daten (also Name, Mitgliedsnummer und Beitrittsjahr) kennt, kann ein Angreifer beim größten Automobilclub Deutschlands ganz einfach das Passwort des betreffenden Onlinezugangs ändern. Die Funktion »Passwort vergessen?« (Abbildung 1) sieht nämlich keine Überprüfung der Identität des Surfers vor, zum Beispiel über eine E-Mail-Adresse. Nach Eingabe des neuen Kennworts ist der Angreifer sofort als »Online« angemeldet und kann die im Menüpunkt »Mein ADAC« gespeicherten Daten wie Anschrift und Telefonnummer des ADAC-Mitglieds abrufen und ändern. Hat der Karteninhaber keine E-Mail-Adresse hinterlegt, dann erfährt er nicht einmal im Nachhinein von diesen Aktivitäten. Die Lücke erhält dadurch eine sehr praktische Brisanz, weil jeder Eingeloggte im ADAC-Onlineshop Waren bestellen kann und an die hinterlegte Adresse geliefert bekommt. Abbildung 1: Wer die Daten auf der ADAC-Karte kennt, kann sich einloggen, das Passwort ändern, die Daten ändern und im Onlineshop bestellen. Um eine Stellungnahme gebeten, antworte der stellvertretende Leiter für externe Kommunikation, Roman Breindl: “Wir kennen das Problem, betrachten es aber nicht als gravierend. Schon die Tatsache, dass von den über 16 Millionen ADAC-Mitgliedern jedes Jahr maximal vier Hinweise darauf bei uns eingehen, zeigt uns, dass das Problem übersichtlich ist. Adressen- oder Bankdaten finden Sie ja heute auch auf jedem Briefkopf.”

Selbstauskunft

Wer Dienste im Internet anbietet, kommt an vielen Stellen nicht umhin, seine Identität preiszugeben. Die Provider wollen wissen, wem sie einen Webserver, eine Domain oder einen IP-Adressenblock verkaufen. Per Whois-Dienst publizieren sie diese Angaben. Das ist für Techniker auch sinnvoll, um bei einem Fehler auf der Gegenseite zu wissen, wen sie wie kontaktieren müssen. Auch bei Angriffen hilft es, einen Ansprechpartner im Quell-Netz zu finden.

Whois verrät zu jeder DNS-Domäne den Betreiber des Nameservers, den Eigentümer, technische und administrative Ansprechpartner sowie den Zonen-Admin mit Name, Anschrift und teils Telefonnummer. Bei IP-Adressenblöcken sind die herausgebende Instanz sowie die Betreiber aufgeführt. Über Telefonbücher und Geo-IP-Dienste lassen sich den Namen und Anschriften jederzeit weitere Daten zuordnen, etwa zu welcher Region eine IP-Adresse gehört [1].

Systembedingt stecken in X.509-Zertifikaten eines gesicherten Online-Angebots der Firmenname mit Land, Bundesland und Ort. Mehr noch verrät die eigene Webseite – hierzu ist der Betreiber dank Impressumspflicht verdonnert. Die Vorratsdatenspeicherung sorgt künftig dafür, dass sogar bei Dial-in-Verbindungen eine Zuordnung zur Person möglich wird, wenngleich diese Information den Behörden vorbehalten bleibt.

Gedächtnisstütze

Weiter reichende Infos zu einer Domäne liefert der Dienstleister Domaintools [2]. Er verknüpft Whois-Daten von DNS-Name und IP-Adresse mit einem Suchindex, zeigt ähnliche Sites und verrät unter anderem, welche weiteren Domänen derselben Person gehören und welche Sites ein Server zusätzlich ausliefert.

Dass einmal veröffentlichte Daten nie wieder zum Geheimnis werden, ist im Grunde selbstverständlich. Niemand weiß, wer die Daten lokal gespeichert hat und was er damit künftig anstellt. Dieses Schicksal droht neben peinlichen und darum beliebten Jux-Videos auf Youtube aber auch jeder gewöhnlichen Webseite: Die Zeitmaschine des Webarchivs [3] fördert zutage, mit welchen Visionen eine Firmenseite vor zwei Jahren prahlte oder was deren Marketingchef in seiner Jugend alles auf seine Webpräsenz stellte.

Das Internetarchiv respektiert zwar Angaben einer »robots.txt« [4], es gibt aber technisch kein Mittel gegen Spider und Roboter, die sich über solche Vorgaben hinwegsetzen. Bleibt nur, schon beim Publizieren an die Zukunft zu denken und vermeintliche lustige, witzige oder anderweitig kritische Daten nicht ins Internet zu stellen.

Unterste Schichten

Spannender noch als statisch verfügbare Informationen sind die dynamisch während der Kommunikation in die Öffentlichkeit sickernden Hinweise. Am Anfang sollte die Annahme stehen, dass jede Verbindung abhörbar ist, egal ob sie über Festnetz, WLAN oder Mobilfunk läuft. Ob der Schnüffler mit dem Abgehörten etwas anfangen kann, ist primär eine Frage sicherer Verschlüsselung.

Datenlecks gibt es schon auf den unteren Schichten des OSI-Modells. Jede Ethernet- und jede WLAN-Karte hat ihre weltweit eindeutige MAC-Adresse. Damit ist es möglich, auch über längere Pausen hinweg Notebooks wieder zu identifizieren, wenn sie sich an einem Accesspoint anmelden. Im LAN ist die Adresse immerhin nur bis zum nächsten Router erkennbar. Bei beiden Gerätetypen identifizieren zudem die ersten 24 Bits der Adresse den Hersteller. Zu welcher Firma ein OUI (Organizationally Unique Identifier) gehört, ist direkt beim Standardisierungsverband IEEE [5] zu erfahren.

Die MAC-Adresse ändern wäre in der Regel zwar mit »ifconfig eth0 hw ether 01:02:03:04:05:06« möglich, ist aber kaum zu empfehlen: Eine zufällige Übereinstimmung mit der MAC eines anderen Geräts führt ins Datenchaos. Sinnvoller ist es, die WLAN-Karte – wenn möglich – abzuschalten und sich nicht sorglos auf fremde Accesspoints einzulassen.

Auch die höheren Schichten IP und TCP/UDP verraten mehr über die Gegenstelle als zu vermuten wäre. Bei der IP-Adresse ist die Lage noch einfach: Sie muss den Anschluss identifizieren, damit Antwortpakete den Weg zurück finden. Wer sich hier tarnen will, kann Anonymisierungsdienste wie Jap und Tor einsetzen.

TCP/UDP- und IP-Header verraten noch mehr: Mit passivem Fingerprinting [7] findet ein Lauscher sehr genau heraus, welches Betriebssystem und oft auch welche Version kommuniziert, selbst wenn die Applikationsschicht verschlüsselt ist, etwa bei HTTPS. Sollte eine Linux-Firma intern mit Windows-Software arbeiten, könnte sich diese Information durchaus zum PR-Desaster entwickeln.

Richtig tunneln

Welche Dienste ein Client ansteuert, ist über den TCP/UDP-Port sehr leicht herauszufinden. Die Internetstandards liefern entsprechende Listen, aber auch Wikipedia [8] oder bei verbreiteten Diensten ein Blick in »/etc/services«. Wer per Verschlüsselung dieses Datenleck stopft, muss prüfen, auf welcher Schicht diese greift: SSL/TLS setzt auf TCP, womit die Adresse der Gegenstelle und Infos zum angesteuerten Port publik bleiben. Ein VPN hilft hier weiter: Es tunnelt üblicherweise die IP-Pakete, bei manchen Techniken auch Ethernet-Frames. Wer mehrere Außenstellen betreibt, sollte auf keinen Fall auf ein sicheres VPN verzichten und vielmehr seine Standorte mit IPsec oder OpenVPN verbinden [9].

VPNs brauchen eine passende Gegenstelle. Öffentliche Anbieter sind damit kaum ausgestattet, also setzen findige IT-Bastler einen eigenen Server auf, der vielleicht sogar im Ausland steht, und leiten ihren Verkehr per VPN gut geschützt auf diesen Rechner. Erst von dort aus erreichen die Pakete den öffentlichen Dienst. Das dabei allfällige NAT (Network Address Translation) tarnt zudem die echte Client-IP. So bleibt, meinen sie, ihre Identität dem Dienst verborgen.

Zu viel Vertrauen sollte man in diesen Schutz nicht setzen. Selbst wer daran gedacht hat, auch alle DNS-Anfragen durch das VPN zu tunneln, muss noch der Korrelation der Verkehre rechnen. Kann ein Lauscher sowohl die (verschlüsselten) VPN-Verbindungen abhören als auch die (Klartext-)Anfragen an den öffentlichen Server, dann verrät ihm die zeitliche Korrelation von Daten, welche Anfrage zu welchem Paket gehört. Dagegen helfen nur echte Anonymisierungsdienste wie Tor und Jap. Der Proxy-Dienst Tor verhindert sogar, dass Schnüffler über das Abhören der DNS-Requests erkennen, welche Adresse ein Client ansteuert. Beim Firefox ist die Einstellung »network.proxy.socks_remote_dns = true« das Mittel der Wahl [10].

Sorglosigkeit am Browser

Der Kasten “Anonyme und pseudonyme Identitäten” beleuchtet kurz die Probleme beim anonymen Surfen. Gegen die ziemlich breite Spur eines normalen Webclients helfen folgende Tipps:

• Cookies möglichst komplett abschalten, insbesondere beim
  Besuch von Google und ähnlichen Firmen.
• Klardaten in Foren, Community-Seiten, Partnerbörsen und so
  weiter sind tabu – insbesondere vom Firmenrechner aus.
• Die Wirksamkeit eines Pseudonyms lässt mit der Menge
  seiner Verwendung nach (siehe Deanonymisierungs-Artikel).

Weit weniger subtil als in den unteren Schichten sind die Informationen, die in den Anwendungsprotokollen stecken. Bereits beim Verbindungsaufbau verraten die meisten Browser, welche Version der User verwendet, auf welchem Betriebssystem sie laufen und von welcher Seite sie kommen (Referrer-Header). Ein Java-Applet kann sogar die wahre IP-Adresse des Clients ermitteln, die sich häufig hinter einem NAT-Gateway versteckt. Immerhin bleibt die MAC-Adresse vor dem Applet verborgen.

Zugriff auf die Daten haben auf den ersten Blick Client und Server. Ersterer legt sie im Cache und in der History ab, der zweite protokolliert jeden Zugriff in den Logfiles. Eventuell merken sich zudem Caching Proxies den Vorgang, um ihn bei Wiederholung zu beschleunigen. Gegen einen Teil dieser informationellen Freizügigkeit helfen Browser-Plugins und eine angepasste Konfiguration, gegen leichtsinnig in eine Webseite eingetippte Daten sind aber auch sie machtlos. Der erste Schritt zu einem in Fleisch und Blut übergegangenen, notwendigen Sicherheitsdenken ist in der Firma eine Datensicherheitspolicy, also ein Verhaltenscodex, dessen Einhaltung auch jemand kontrolliert.

Mail und VoIP

Besonders knifflig ist die Lage bei E-Mail. Da sie sich nicht per Ende-zu-Ende-Verbindung, sondern via Store-and-Forward den Weg zum Empfänger findet, kommen neben Absender und Adressat auch alle MTAs dazwischen an alle Daten heran. Wieder landen Informationen über Sender und Empfänger in Logfiles; dank Vorratsdatenspeicherung müssen sie dort sogar für ein halbes Jahr bleiben.

Die E-Mail-Header informieren ausführlich über die verwendeten Mailprogramme und den Pfad, den die Mail bislang genommen hat. Verschlüsselung schützt zwar den Inhalt der Kommunikation; Absender und Adressat bleiben aber im Klartext. Einen Ausweg geben anonyme Remailer, etwa Mixmaster [16]. Sie erlauben es sogar, auf anonymisierte Mails zu antworten.

Wie wichtig der Schutz interner Firmendaten vor dem Durchsickern geworden ist, zeigt die Menge an Content-Filtern, die nicht nur die ins interne Netz kommenden Daten prüfen, sondern auch die nach außen gehenden. Der Spamfilter-Spezialist Ironport [17] beispielsweise setzt in seiner Appliance Outgoing-Filter gleichwertig neben Incoming-Filter. Das Marketing-Schlagwort dazu lautet DLP, Data Loss Prevention. Unter diesem Begriff finden sich auch Spezialfirmen wie die zu Symantec gehörende Vontu ([18] und Abbildung 2).

Abbildung 2: Der auf Data Loss Prevention spezialisierte Anbieter Vontu teilt die Schutzfunktion seiner Produkten in die drei Säulen Storage, Endpunkt und Netzwerk. An jeder Stelle könnten Mitarbeiter oder Angreifer vertrauliche Daten abgreifen. (Quelle: Vontu)

Wegen der Vorratsdatenspeicherung muss der Maildienst auch als potenziell staatlich überwacht gelten. Wer dem entgehen will, kann sich einen eigenen dedizierten oder virtuellen Linux-Server mieten und dort einen Mailserver einrichten. Er muss sich aber darüber im Klaren sein, dass die deutsche Empfängerseite der Mail überwacht bleibt.

Auch das hypende VoIP ist tendenziell eine unsichere Angelegenheit. SIP-Telefonie ohne Audioverschlüsselung (SRTP) und sichere Vermittlungssignalisierung (TLS) ist stark abhörgefährdet. Das alternative Skype arbeitet zwar von Haus aus verschlüsselt, legt aber weder Protokoll noch Implementierung offen, was bei jedem Datenschutzbeauftragten Widerspruch erregen sollte. Für SIP-Telefonie zwischen Unternehmensteilen ist ein VPN die beste Lösung, besonders wenn es aus anderen Gründen schon besteht.

Metadaten in Dokumenten

Obgleich PC-Zeitschriften gelegentlich darauf verweisen, ist der Mehrheit der MS-Office-Benutzer nicht klar, dass die Vor-XML-Dateiformate wahre Informationsschleudern sind. Viele verschickte »doc«-Dateien transportieren dank der Überarbeiten- und der Rückgängig-machen-Funktionen alte Daten, die der Empfänger mit Word & Co. locker sichtbar macht – das kann peinlich werden. Wer mit einem Hex-Editor in die Dateien guckt, findet noch ungleich mehr Texte. Tipp: Da es sowieso eine Unart ist, nicht plattformübergreifend funktionale Dateiformate zu benutzen, ist eine Policy in Richtung RTF, Open Office und – weniger schön – PDF zu empfehlen.

Noch weniger ins allgemeine Bewusstsein sind Exif- und andere Metadaten in digitalen Bildern gedrungen. Die dort gespeicherten Informationen können eine gewisse Brisanz erreichen und im Extremfall als Anscheinsbeweis vor Gericht Bedeutung erlangen. Mittlerweile gibt es sogar Kameras mit eingebautem GPS-Empfänger zu kaufen, die den Standort der Aufnahme ins Bild kodieren. Wer derart aufgepeppte Aufnahmen ins Internet stellt oder verschickt, muss sich nicht wundern, wenn Profile-Ersteller zügig mit ihrer Arbeit fertig sind.

RFID-Chips und Datenträger

Die Logistikbranche jubelt: Die kleinen, billig herzustellenden Radioetiketten stehen kurz vorm Durchbruch. Wat dem enen sin Uhl, is dem andern sin Nachtigall: Wer zur Vereinfachung der Abläufe in seiner Firma die Chips im Einsatz hat, braucht sich um die Publizität seiner Warenströme keine Gedanken mehr machen. Denn es reicht, wenn ein Mitbewerber ein eigenes Auto neben dem Firmentor parkt und ein RFID-Lesegerät nebst Notebook mitlaufen lässt. Was auch immer dort an Kartons rein- und rausfährt, der andere ist im Bilde.

Mit zunehmender Verbreitung der Etiketten werden auch die eigenen Mitarbeiter dank ihrer Kleidung zu laufenden Daten-Christbäumen. Bei genauer Betrachtung ist das aber heute schon der Fall, weil praktisch jeder in Deutschland ein eingeschaltetes Mobiltelefon mit sich führt und per Vorratsdatenspeicherung oder mit einem beim Mobilfunkprovider entwendeten Datensatz oder “alternativer” Funkzellen jederzeit ortbar ist.

Die Aufregung über den aktuellen Datenverlust in England zeigt wieder einmal, wie schnell sensible Datensätze auf dem Kurierweg verloren gehen können. Dagegen hilft nur, die verschickten Datenträger (CDs, DVDs, USB-Devices) zu verschlüsseln oder steganographisch zu behandeln – was laut Studien leider selten passiert. Unter Linux gibt es dabeimehrere Möglichkeiten [19].

Als psychologisch induzierte Falle dürfen defekte CDs, USB-Sticks, Festplatten und so weiter gelten. Da sie in den Augen des rechtmäßigen Besitzers unbrauchbar und damit nicht mehr Träger von Daten sind, neigt er dazu, sie einfach wegzuwerfen. Doch der Finder solcher Artefakte muss nur einen erhöhten technischen Aufwand betreiben und erhält alle oder einen Teil der Daten.

Mit Verschlüsseln und sicherem Löschen begegnen die Datenträger-Eigner dem Problem, wobei bei USB-Devices die interne Mapping-Rotationslogik allen Überschreibversuchen die Sicherheit nimmt. Alternativ bietet sich das physische Zerstören an, wobei Grundkenntnisse moderner Recovery-Mechanismen nicht von Schaden sind.

Auch eingehende mobile Datenträger stellen ein Sicherheitsrisiko dar, denn auf ihnen kann Malware aufgespielt sein, die der Empfänger ins Firmennetz einschleppt. So haben Sicherheitsfirmen versuchsweise USB-Sticks mit Trojaner-Software auf Betriebsgeländen ausgelegt. Ein Gutteil der Finder steckten die Sticks alsbald in ihre Arbeitsrechner und startete die aufgespielten Programme.

Verlust und Weitergabe

Ein ebenso großes wie unterschätztes betriebliches Abflussloch sind gestohlene Notebooks mit Firmendaten und Smartphones, die sich zuvor gegen einen Groupwareserver oder betriebliche Standardsoftware synchronisiert hatten. Der materielle Wert der Hardware zieht auf Flughäfen, Bahnhöfen oder in Gaststätten normale Kriminelle an. Wenn der Dieb das Gerät an einen professionellen Hehler vertickt, kann dieser auch die Daten auslesen und verwerten.

Als Highlight des schlampigen Umgangs mit Daten erweisen sich verkaufte, verschenkte, an eine Leasingfirma zurückgegebene oder schlicht dem Recycling zugeführte Geräte. Die Liste speichernder Geräte ist so lang wie die Inventarliste eines mittelständischen Unternehmens: Server und Desktops (Festplatten mit Daten und Passwörtern), Telefonanlagen und Telefone (Anruferlisten, Telefonbücher, Voicebox-Files, SMS), Router (VPN- und WLAN-Schlüssel), PDAs (Adressbücher, Mails und Ähnliches), große Kopierer und Drucker mit internen Festplatten und so weiter.

Als Schlampigkeitstest hat einer der Autoren dieses Artikel bei einem großen Internetaktionshaus für fünf Euro plus Versand ein Faxgerät ersteigert. Das Tischgerät von Canon besitzt eine Laserprint-Einheit und zielt damit auf Büros. Trotz kleinerer mechanischer Macken ließ sich auf Anhieb die in Abbildung 4 gezeigte Statusseite drucken. Die Liste zeigt Datum, Uhrzeit und Rufnummern aller zuletzt ein- und ausgehender Faxe – Volltreffer. Über eine Nummernrückwärtssuche lässt sich ein prima Kommunikationsprofil erstellen. Die eigene Faxnummer und Firmenbezeichnung sowie diverse Kurzwahlnummern waren sowieso im Gerät einprogrammiert.

Abbildung 4: Ausgemusterte Faxgeräte gibts im Internet zu Spottpreisen, inklusive der darin gespeicherten Anruferlisten. Hier das leicht anonymisierte Protokoll eines für fünf Euro ersteigerten Canon-Geräts.

Wer meint, das könne ihm alles nicht passieren, möge sich daran erinnern, in welchem Zustand er sein letztes Leasingfahrzeug zurückgegeben hat: Waren die Telefonnummern aus der Freisprecheinrichtung gelöscht? Wenn ja, wie sieht es mit dem eingebauten Navigationsgerät aus: letzte Fahrziele, Default-Ziele? Es lassen sich folgende Ratschläge geben:

• Auf mobilen Geräten – wo immer möglich –
  Verschlüsselungssoftware installieren und benutzen.
• Alle Geräte, die auf regulärem Weg das Haus
  verlassen, auf gespeicherte Daten untersuchen und sie
  löschen.

Existiert keine sichere Löschvariante, wovon bei vielen Geräteklassen auszugehen ist, lohnt es sich, den potenziellen Schaden durch in falsche Hände gelangte Daten und den materiellen Wert des Geräts abzuwägen. Interne Festplatten lassen sich eventuell im ausgebauten Zustand an einem PC sicher löschen.

Tipps am Schluss

Dieser Artikel kann naturgemäß das Thema nicht komplett abdecken. Sein Ziel war, den Schutz sensibler Daten als Maßnahmenbündel darzustellen. Wie bei vielen anderen Dingen im Arbeits- und Privatleben gilt auch auf diesem Gebiet: Lieber einmal mehr überlegen und einmal weniger überstürzt handeln.

Charly über Schutz im Rechzentrum

Abbildung 3: Linux-Magazin-Kolumnist Charly Kühnast ist Administrator im Rechenzentrum Niederrhein in Moers. Zu seinem Aufgabenbereich gehören die Firewalls und die DMZ. In den meisten Rechenzentren fallen naturgemäß personenbezogene Daten an, bei unserem kommunalen sogar in höherem Maße. Besonders schützenswert sind zum Beispiel Einwohner-, Kfz-Halter-, Sozialhilfedaten und vieles mehr. Entsprechend viel Wert legen wir auf den Datenschutz. Die Schutzmaßnahmen lassen sich in technische und organisatorische Vorkehrungen unterteilen. Mit den organisatorischen Regelungen geht es schon beim Zutritt zum Gelände los. Betriebsfremde Personen müssen sich an der Pforte melden, Zufahrten und -gänge sind videoüberwacht. Im Gebäude selbst sind nur unkritische Bereiche wie Kantine und Schulungsräume frei zugänglich, weitere Räumlichkeiten dürfen nur die jeweils berechtigten Personen mit speziellen Schlüsselkarten betreten. Mitarbeiter externer Unternehmen können ihre Laptops nur nach vorheriger Freigabe und unter Aufsicht eines RZ-Kollegen ans interne LAN anschließen, ein WLAN gibt es nicht. Die technischen Schutzmaßnahmen sind noch aufwändiger. Unsere Kunden – vornehmlich Kommunalverwaltungen und deren Eigenbetriebe wie Stadtwerke, Bibliotheken, Kitas – sind über verschlüsselte Standleitungen ans Rechenzentrum angebunden. Das erspart jede Menge Kopfschmerzen, die der Transport sensibler Daten über öffentliche Netze mit sich brächte. Alle unsere Kunden nutzen einen Rechenzentrums-eigenen zentralen Internetzugang. Das konzentriert die Sicherheitstechnik (IDS/IPS, Firewalls, Spam- und Virenfilter, VPN-Konzentratoren) an einer Stelle und spart Geld, weil nicht jeder Kunde Personal und Technik selbst vorhalten muss. Die demilitarisierte Zone als Vorposten Sensible Produktionsumgebungen wie die Datenbank-Cluster für ein Abrechnungsverfahren haben ihr eigenes LAN mit genau definierten Schnittstellen. Für jedermann erreichbare Geräte wie Webserver und Spamfilter stehen dabei in einer DMZ, die sich von den Firewalls mit besonders rigiden Regelwerken beglücken lassen. Sollte einer dieser Server gehackt werden, was nie zu 100 Prozent auszuschließen ist, kann der Angreifer diese Systeme nicht als Sprungbrett ins interne Netz benutzen und zieht unverrichteter Dinge wieder ab. All diese Maßnahmen und Schutzvorrichtungen dürfen aber nicht darüber hinwegtäuschen, dass Datenschutz in erster Linie eine Kopfsache ist. Schulungen und Workshops sorgen bei uns dafür, dass sich jeder einzelne Mitarbeiter über den Wert der Daten, mit denen er tagtäglich umgeht, bewusst ist und entsprechende Vorsicht walten lässt. Denn jeder technische Schutz versagt, wenn jemand sensible Daten unverschlüsselt auf einer CD per Briefpost versendet, wie es letztens in Großbritannien geschehen ist. Datenschutz will aktiv gelebt sein, er beeinflusst die betrieblichen Abläufe: Die leider faszinierend umfangreiche ISO-Norm 27001 beschreibt, wie man ein Informationssicherheits-Management gestalten kann. Ein zentraler Bereich ist dort die Dokumentation, also die Erstellung von Betriebshandbüchern. In diesen “Backanleitungen” steht (hoffentlich) kurz und bündig, wie ein bestimmer Geschäftsprozess abläuft und damit natürlich auch, was zur Einhaltung des Datenschutzes zu beachten ist.