Pflege

Scatternet

Eine Gruppe von unabhängigen und nicht miteinander synchronisierter Piconets, die gemeinsam auf mindestens ein Bluetoothfähiges Endgerät zugreift.

Es ist zu erwarten, dass Bluetooth zukünftig auch für die Übertragung sensibler Daten genutzt werden soll. Bluetooth unterteilt das ISM-Band bei 2,4 GHz in 79 Kanäle mit jeweils 1 MHz Bandbreite. Damit ist eine Datenrate von theoretisch 1 Mbit/s möglich.

12.1.1.2.2.2

Sicherheitsmechanismen

Für Bluetooth gibt es drei Sicherheitsmodi, in denen die Geräte betrieben werden können:

Im Sicherheitsmodus 1 (Non-Secure Mode) gibt es keine Authentifikation oder Verschlüsselung. Die Geräte befinden sich im Entdeckungsmodus und reagieren nur auf die Authentifizierungsanforderungen anderer Bluetooth-Geräte.

Im Sicherheitsmodus 2 (Service-Level Enforced Security) ist die Authentifikation abhängig von der jeweiligen Anwendung. Geräte dieser Stufe verfügen über Übertragungs-Protokolle und Anwendungen, die die Verschlüsselung selbst durchführen, nachdem der Verbindungskanal aufgebaut wurde.

Im Sicherheitsmodus 3 (Link-Level Enforced Security) werden Authentifikation und Verschlüsselung beim Verbindungsaufbau durchgeführt. Erfasst werden alle Anwendungen, die auf diese Verbindung kommunizieren. Ein so genannter Security-Manager ­ eine Komponente innerhalb der Bluetooth-Software ­ verwaltet und setzt die Sicherheitsregeln durch.

Mit dieser Sicherheitsarchitektur ist es allein möglich, die angewählten Geräte zu identifizieren. Die Datenherkunft und Identität des Nutzers wird nicht überprüft. Verschlüsselungsalgorithmen zwischen 8 und 128 Bit werden als Basisausstattung mitgeliefert. Bei der ersten Kontaktaufnahme zwischen zwei Bluetooth-Geräten (Pairing) kann es vorkommen, dass nicht involvierte Bluetooth-Geräte in der Nähe den Initialisierungsprozess abhören können. Dies ist dann möglich, wenn Geräte mit geringem Speicherplatz als Verbindungsschlüssel den eigenen Geräteschlüssel verwenden.

12.1.1.2.2.3

Datenschutzrechtliche Bewertung

Beim Einsatz von Bluetooth sollten alle standardmäßig vorgegebenen Sicherheitsmechanismen genutzt werden. Dies bedeutet, dass stets der Sicherheitsmodus 3 aktiviert sein sollte. Überdies ist im Einzelfall ­ in Abhängigkeit der Sensibilität der Daten ­ zu entscheiden, welche weiteren Sicherheitsoptionen gewählt werden müssen. Zur Zeit empfiehlt sich für die Übertragung von sensiblen Daten der Einsatz von IPSec-Lösungen. Der Markt ist stark in Bewegung und wird voraussichtlich in der nächsten Zeit neue Sicherheitslösungen anbieten können.

12.2

Einsatz des Active Direcotry und von Windows 2000 in der Landesverwaltung

Das Betriebssystem Windows 2000 der Firma Microsoft ist das Nachfolgeprodukt von Windows NT. Wesentliche Komponente eines Netzwerks mit Windows 2000-Servern ist das Active Directory, das auch für zukünftige Betriebssysteme von Microsoft eine zentrale Bedeutung hat. Windows 2000 und das Active Directory werden in der Hessischen Landesverwaltung und bei Hessischen Kommunen eingesetzt. Neben den Neuerungen gegenüber Windows NT fällt besonders die höhere Komplexität ins Gewicht, die eine sorgfältige Planung des Einsatzes nötig macht. Dabei geht man davon aus, dass bei großen Netzen eine Planungsphase von mehr als einem Jahr zu erwarten ist.

12.2.1

Wichtige neue Funktionen Windows 2000 ist das Nachfolgeprodukt von Windows NT. Während es für Arbeitsplatz-Rechner mit Windows XP bereits ein weiteres Nachfolgeprodukt gibt, ist Windows 2000 für Server das aktuelle Betriebssystem von Microsoft.

Mit der Einführung von Windows 2000 in einem Netzwerk müssen auch Entscheidungen zur Struktur des Netzwerks getroffen werden, die unabhängig vom Betriebssystem sind. Sie fließen insbesondere in die Planung des Active Directory (AD) ein. Die Entscheidungen sind Vorgaben, die auch bei einem Wechsel auf neue Betriebssysteme eingehalten werden müssen.

Windows 2000 besitzt im Vergleich zu Windows NT einige neue Funktionen und Komponenten.

Von den Neuerungen hat das AD die größte Bedeutung. Es wird auch von zukünftigen Betriebssystemen der Firma Microsoft genutzt, z. B. dem derzeit aktuellen Windows XP beim Einsatz in einem Netzwerk. Beim AD handelt es sich Hessischer Landtag · 15. Wahlperiode · Drucksache 15/479056 um eine verteilte Datenbank, die alle Informationen über Domänen, Benutzer und Computer speichert. Diese Daten können auf mehrere Domänen-Controller verteilt werden und Änderungen können an jedem Domänen-Controller vorgenommen werden. Die Domänen-Controller replizieren diese Änderungen untereinander, soweit sie zum Global Catalog gehören (schematische Darstellung eines Netzwerks mit AD siehe Abbildung rechts). Durch die Verwendung des AD werden größere Domänen möglich als bei Windows NT, da das AD wesentlich mehr Einträge fassen kann als die SAM-Benutzerdatenbank eines Windows NT Domänen-Controllers.

Unter Sicherheitsaspekten spielt das AD eine wichtige Rolle, da es

­ viele sicherheitsrelevante Daten enthält,

Weitere neue Funktionen und Komponenten sind:

­ Kerberos

Die Authentisierung erfolgt in Windows 2000-Netzen mit Kerberos, einem Protokoll, das das Abhören und Entschlüsseln von Kennwörtern wesentlich erschwert.

­ Verschlüsselung von Dateien

Es gibt die Möglichkeit Dateien zu verschlüsseln. Die Verschlüsselung ist ­ derzeit ­ benutzerbezogen und muss sorgfältig geplant werden, damit im Fall einer Vertretung die Daten verfügbar sind.

­ Verschlüsselte Datenübertragung

Mit dem integrierten Protokoll IPsec können auch Datenübertragungen verschlüsselt werden.

­ Terminalserver

Ein Terminalserver ist im Betriebssystem integriert und muss nicht als Zusatzprodukt integriert werden. Es können daher mit weniger Aufwand Terminalserver-Lösungen eingeführt werden. Diese haben den Vorteil, dass nur die Ergebnisse von Verarbeitungsläufen zum Arbeitsplatzrechner als Bildschirmanzeigen übertragen werden und nicht komplette Dateien, die dann vom Arbeitsplatzrechner verarbeitet werden. (s. Ziff. 12.4) 12.2.2

Einige Problempunkte

Mit den neuen technischen Gegebenheiten sind auch Schwachstellen verbunden, die bei dem Einsatz des AD berücksichtigt werden müssen. Hier sind insbesondere zu nennen:

­ Im AD werden viele personenbezogene Daten gespeichert. Es gibt dabei Muss-Felder und optionale Felder.Welche Daten gespeichert werden sollen, muss vor einem Einsatz datenschutzrechtlich geprüft werden. Dabei ist zu beachten, dass bestimmte Benutzerdaten aus dem AD, die des Global Catalog, in jeder Domäne zur Verfügung stehen.

­ Domänen sind das grundlegende Strukturelement für das AD. Die Domäne bildet grundsätzlich eine Grenze bezüglich der Sicherheit und der Administration. Innerhalb einer Domäne haben die Domänenadministratoren weitgehende Zugriffsrechte beziehungsweise können sich die Rechte verschaffen. Rechte in einer anderen, auch hierarchisch untergeordneten Domäne, sind damit nicht verbunden. Sie müssen explizit vergeben werden.

Eine Ausnahme von dieser Regel bilden die Organisations-Administratoren. Das sind der sogenannten Forest-Root-Domäne, der ersten Domäne, die in einem Windows 2000-Netzwerk angelegt wird.

Diese Administratoren haben umfassenden Zugriff im gesamten Netzwerk oder können sich den Zugriff verschaffen.

­ Alle Domänen in einem AD müssen das gleiche Schema verwenden. Soll auch nur in einer Domäne eine Software installiert werden, die eine Schemaänderung benötigt, müssen alle anderen Domänen diese Änderung mit tragen.

Inkompatible Schemaänderungen durch verschiedene Softwareprodukte können dann dazu führen, dass Software nicht installiert werden kann oder fehlerhaft abläuft.

­ Ist eine Domäne auf mehrere Standorte verteilt, die nur unzureichend miteinander vernetzt sind, kann die Übertragung der umfangreichen Replikationsdaten zu lange dauern, bis eine Kontosperrung in allen Standorten wirksam wird. Daher kann sich ein Benutzer, dessen Konto gesperrt worden ist, u. U. noch an anderen Standorten am System unberechtigt anmelden.

Vor dem Einsatz sind daher eine Reihe von Überlegungen anzustellen, wie sie vom Hersteller Microsoft oder, mit dem Schwerpunkt möglicher Sicherheitsprobleme, im Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) dargelegt sind. Auch mein Hamburger Kollege hat einen Leitfaden zum Datenschutz bei Windows 2000 veröffentlicht.

12.2.3

Aktivitäten der Hessischen Landesverwaltung

Um den Einsatz des AD für die Hessische Landesverwaltung vorzubereiten, wurde eine Arbeitsgruppe Active Directory gebildet. Mitte 2001 hat der Landesautomationsausschuss (LAA) der Arbeitsgruppe den Auftrag erteilt, technische Grundlagen, Probleme und Lösungsmöglichkeiten für die Einführung einer landesweiten ADGesamtstruktur zu erörtern. Die Teilnahme an der Arbeitsgruppe stand jeder Behörde offen. Im November 2001 wurden die Vorschläge für die Einführung einer landesweiten AD-Gesamtstruktur für die Behörden des Landes Hessen dem LAA vorgelegt. Der LAA befürwortete die Einrichtung einer ständigen Facharbeitsgruppe Active Directory zur Pflege und Anpassung des AD an zukünftige Entwicklungen und der Erstellung eines Sicherheitskonzeptes. Die Geschäftsführung hierzu wurde dem Hessischen Ministerium des Innern übertragen.

Seit Anfang 2002 tagte die Projektgruppe Active Directory, in der Konzepte erarbeitet werden, um diese dem Entscheidungsgremium zuzuleiten. Wenn erforderlich, nehmen meine Informatiker als beratende Mitglieder an den Sitzungen teil. Mittlerweile wurden wesentliche Weichenstellungen vorgenommen und wichtige Konzepte erstellt und verabschiedet.

Wenn Microsoft-Betriebssysteme, wie in der Hessischen Landesverwaltung, in einem Verbund weitgehend unabhängiger Stellen eingesetzt werden sollen, muss die Netz- und Domänenstruktur den Erfordernissen genügen. In Hessen hat man sich entschieden, die Forest-Root-Domäne nur als Klammer für die darunter liegenden Domänen zu nutzen. Sie wird nur insoweit genutzt, wie es für die Funktionsfähigkeit des Netzes erforderlich ist.Als Konsequenz können gerade die sicherheitsrelevanten Aktionen der Organisations-Administratoren und Schema-Administratoren auf ein Minimum reduziert werden.

Hessischer Landtag · 15.